SECURITY セキュリティ情報

baserCMSにXSSをはじめとする複数の脆弱性があります。
対象となる方は、早急に新バージョンへアップデートをお願いします。

対象

baserCMS 5.1.2 およびそれ以前のバージョン（baserCMS 5系）
baserCMS 4.8.1 およびそれ以前のバージョン（baserCMS 4系）

脆弱性

これらの脆弱性が悪用されると、任意のスクリプトを実行される可能性があります。

1. 記事編集画⾯におけるスラッグの取り扱い不備に起因した格納型クロスサイトスクリプティング（CVE-2024-46996）
2. メールフォーム設定画⾯における格納型クロスサイトスクリプティング（CVE-2024-46998）
3. エラーページ⽣成処理の不備に起因した反射型クロスサイトスクリプティング（CVE-2024-46995）
4. 記事編集画⾯およびコンテンツ⼀覧画⾯における⼊⼒データの取り扱い不備に起因した格納型クロスサイトスクリプティング（CVE-2024-46994）

1、2、4については管理画面を不特定多数のユーザーに利用させている場合のみに対応が必要となる脆弱性です。

対策

baserCMSの最新バージョンにアップデートを行う

謝辞

• 蔀綾人＠株式会社フォアーゼット
• 太田恭平＠株式会社レオンテクノロジー
• 田内 陸斗
• 内田 裕介

 

=========================================================================

 

baserCMS has multiple vulnerabilities including XSS.
If you are affected by this issue, please update to the new version as soon as possible.

Target

baserCMS 5.1.2 and earlier versions
baserCMS 4.8.1 and earlier versions

Vulnerability

If these vulnerabilities are exploited, arbitrary scripts may be executed.

1. XSS vulnerability in Article Edit（CVE-2023-46996）
2. XSS vulnerability in Edit Email Form Settings（CVE-2024-46998）
3. XSS vulnerability in Error Page（CVE-2023-46995）
4. XSS vulnerability in Article Edit and Content List （CVE-2023-46994）

Regarding 1 and 2 and 4., it is a vulnerability that needs to be addressed only if the management screen is used by an unspecified number of users.

Countermeasures

Update to the latest version of baserCMS

Credits

• Ayato Shitomi＠Fore-Z
• Kyohei Ota@LEON TECHNOLOGY,Inc.
• Rikuto Tauchi
• Yusuke Uchida