ダウンロード数/...最新バージョン/...

baserCMS 5 カスタムコンテンツ機能を備え、ヘッドレス化
ダウンロード数/
...
最新バージョン/
...
今すぐダウンロード

SECURITY セキュリティ情報

2026/03/26 baserCMSにXSSをはじめとする複数の脆弱性

baserCMSにXSSをはじめとする複数の脆弱性があります。
対象となる方は、早急に新バージョンへアップデートをお願いします。

対象

baserCMS 5.0.0 〜 5.2.2

脆弱性

これらの脆弱性が悪用されると、任意のスクリプトやOSコマンドを実行される可能性があります。

1. CVE-2026-30879:ブログ記事編集におけるXSS
2. CVE-2026-27697:ブログ記事一覧におけるSQLインジェクション
3. CVE-2026-30880:インストーラーにおけるOSコマンドインジェクション
4. CVE-2026-32734:ブログ記事に編集におけるXSS、タグ作成におけるXSS
5. CVE-2026-30877:コアアップデート機能におけるOSコマンドインジェクション
6. CVE-2026-30878:Mail APIにおけるメールフォームの受付バイパス
7. CVE-2026-30940:Theme File APIにおけるパストラバーサル
8. CVE-2026-21861:コアアップデートにおける OSコマンドインジェクション
9. CVE-2025-32957:データベースレストアにおけるRCE

1、4、5、7、8、9については管理画面を不特定多数のユーザーに利用させている場合のみに対応が必要となる脆弱性です。

対策

baserCMSの最新バージョンにアップデートを行う

謝辞

  • 田中凱@三井物産セキュアディレクション株式会社
  • 松本 守礼@フューチャーセキュアウェイブ株式会社
  • 任興典
  • quanlna2 (Le Nguyen Anh Quan)
  • namdi (Do Ich Nam)
  • minhnn42 (Nguyen Ngoc Minh)
  • VCSLab - Viettel Cyber Security
  • 上田将嗣GMOサイバーセキュリティ by イエラエ株式会社
  • melonattacker
  • kaminuma
  • MinhhhCuonggg

 

=========================================================================

 

baserCMS has multiple vulnerabilities including XSS.
If you are affected by this issue, please update to the new version as soon as possible.

Target

baserCMS 5.0.0 - 5.2.2

Vulnerability

If these vulnerabilities are exploited, arbitrary scripts may be executed.

1. CVE-2026-30879: XSS in blog post editing
2. CVE-2026-27697: SQL injection in blog post list
3. CVE-2026-30880: OS command injection in installer
4. CVE-2026-32734: XSS in blog post editing, XSS in tag creation
5. CVE-2026-30877: OS command injection in core update function
6. CVE-2026-30878: Mail form submission bypass in Mail API
7. CVE-2026-30940: Path traversal in Theme File API
8. CVE-2026-21861: OS command injection in core update
9. CVE-2025-32957: RCE in database restoreRegarding

1 and 4,5,7,8,9., it is a vulnerability that needs to be addressed only if the management screen is used by an unspecified number of users.

Countermeasures

Update to the latest version of baserCMS

Credits

  • Gai Tanaka@Mitsui Bussan Secure Directions, Inc.
  • Mirai Matsumoto@Future Secure Wave, Inc.
  • REN XINGDIAN
  • quanlna2 (Le Nguyen Anh Quan)
  • namdi (Do Ich Nam)
  • minhnn42 (Nguyen Ngoc Minh)
  • VCSLab - Viettel Cyber Security
  • Masatsugu Ueda@GMO Cybersecurity by Ierae, Inc.
  • melonattacker
  • kaminuma
  • MinhhhCuonggg