コードインジェクション、XSSの脆弱性

baserCMSに、コードインジェクションとXSSの脆弱性があります。
baserCMSの旧バージョンにおいて、運営者自身以外のユーザーに管理システムへのログインを許可した上で運営されている方は必ずご対応をお願いいたします。

影響を受けるシステム

• baserCMS 4.1.4 およびそれ以前のバージョン

想定される影響

• (1)コードインジェクション
  運営者自身以外のユーザーに管理システムへのログインを許可している場合、テーマ設定より任意のコードを実行される可能性があります。
• (2)クロスサイトスクリプティング
  運営者自身以外のユーザーに管理システムへのログインを許可している場合、ファイルアップローダーのカテゴリ管理より任意のコードを実行される可能性があります。

対策方法

最新バージョンにアップデートする

最新バージョンにアップデートすることで対応する事ができます。
次のページより最新バージョンのダウンロードを行い、リリースノートに基づきバージョンアップ作業を行います。

• baserCMS ダウンロード

修正プログラムを適用する

早急に対応する場合には提供されている修正プログラムを適用します。

• 修正パッチ一覧

謝辞

この脆弱性情報公表にあたり、報告者である topsec(suwang) に謝辞を申し上げます。