ダウンロード数/...最新バージョン/...

baserCMS 5 カスタムコンテンツ機能を備え、ヘッドレス化
ダウンロード数/
...
最新バージョン/
...
今すぐダウンロード

SECURITY セキュリティ情報

2026/03/26 baserCMSにXSSをはじめとする複数の脆弱性

baserCMSにXSSをはじめとする複数の脆弱性があります。
対象となる方は、早急に新バージョンへアップデートをお願いします。

対象

baserCMS 5.2.2 およびそれ以前のバージョン

脆弱性

これらの脆弱性が悪用されると、任意のスクリプトやOSコマンドを実行される可能性があります。

1. CVE-2026-30879:ブログ記事編集におけるXSS
2. CVE-2026-27697:ブログ記事一覧におけるSQLインジェクション
3. CVE-2026-30880:インストーラーにおけるOSコマンドインジェクション
4. CVE-2026-32734:ブログ記事に編集におけるXSS、タグ作成におけるXSS
5. CVE-2026-30877:コアアップデート機能におけるOSコマンドインジェクション
6. CVE-2026-30878:Mail APIにおけるメールフォームの受付バイパス
7. CVE-2026-30940:Theme File APIにおけるパストラバーサル
8. CVE-2026-21861:コアアップデートにおける OSコマンドインジェクション
9. CVE-2025-32957:データベースレストアにおけるRCE

1、4、5、7、8、9については管理画面を不特定多数のユーザーに利用させている場合のみに対応が必要となる脆弱性です。

対策

baserCMSの最新バージョンにアップデートを行う

謝辞

  • 田中凱@三井物産セキュアディレクション株式会社
  • 松本 守礼@フューチャーセキュアウェイブ株式会社
  • 任興典
  • quanlna2 (Le Nguyen Anh Quan)
  • namdi (Do Ich Nam)
  • minhnn42 (Nguyen Ngoc Minh)
  • VCSLab - Viettel Cyber Security
  • 上田将嗣GMOサイバーセキュリティ by イエラエ株式会社
  • melonattacker
  • kaminuma
  • MinhhhCuonggg

 

=========================================================================

 

baserCMS has multiple vulnerabilities including XSS.
If you are affected by this issue, please update to the new version as soon as possible.

Target

baserCMS 5.2.2 and earlier versions

Vulnerability

If these vulnerabilities are exploited, arbitrary scripts may be executed.

1. CVE-2026-30879: XSS in blog post editing
2. CVE-2026-27697: SQL injection in blog post list
3. CVE-2026-30880: OS command injection in installer
4. CVE-2026-32734: XSS in blog post editing, XSS in tag creation
5. CVE-2026-30877: OS command injection in core update function
6. CVE-2026-30878: Mail form submission bypass in Mail API
7. CVE-2026-30940: Path traversal in Theme File API
8. CVE-2026-21861: OS command injection in core update
9. CVE-2025-32957: RCE in database restoreRegarding

1 and 4,5,7,8,9., it is a vulnerability that needs to be addressed only if the management screen is used by an unspecified number of users.

Countermeasures

Update to the latest version of baserCMS

Credits

  • Gai Tanaka@Mitsui Bussan Secure Directions, Inc.
  • Mirai Matsumoto@Future Secure Wave, Inc.
  • REN XINGDIAN
  • quanlna2 (Le Nguyen Anh Quan)
  • namdi (Do Ich Nam)
  • minhnn42 (Nguyen Ngoc Minh)
  • VCSLab - Viettel Cyber Security
  • Masatsugu Ueda@GMO Cybersecurity by Ierae, Inc.
  • melonattacker
  • kaminuma
  • MinhhhCuonggg