SQLインジェクションをはじめとする複数の脆弱性

2017年08月23日

baserCMSに、SQLインジェクションをはじめとする複数の脆弱性があります。
baserCMSの旧バージョンで運営されている方は必ずご対応をお願いいたします。

影響を受けるシステム

• baserCMS 3.0.14 およびそれ以前のバージョン
• baserCMS 4.0.5 およびそれ以前のバージョン

※ サイト内検索を利用していなくても対象となりますので注意が必要です。

想定される影響

• サイト内検索におけるSQLインジェクションの脆弱性
  悪意のあるユーザが意図的に作成したリクエストによって、任意の SQLを実行される可能性があります。
• メールフォームにおける任意のファイルを削除される脆弱性
  悪意のあるユーザが意図的に作成したリクエストによって、任意のファイルを削除、奪取される可能性があります。
  ※ メールフォームにて「ファイル」フィールドを利用している場合のみ対象となります。
• コードインジェクションの脆弱性
  悪意のあるユーザが意図的に作成したリクエストによって、任意のコードを実行される可能性があります。

対策方法

最新バージョンにアップデートする

最新バージョン 3.0.15 / 4.0.6 にアップデートすることで対応する事ができます。
次のページより最新バージョンのダウンロードを行い、リリースノートに基づきバージョンアップ作業を行います。

• baserCMS 3.0.15 ダウンロード
• baserCMS 4.0.6 ダウンロード

修正プログラムを適用する

早急に対応する場合には提供されている修正プログラムを適用します。

2017年8月23日配布 修正パッチ一覧

謝辞

この脆弱性情報公表にあたり、IPA、JPCERT/CC に謝辞を申し上げます。