ダウンロード数/...最新バージョン/...

SECURITY セキュリティ情報

2024/02/22 baserCMSにXSSをはじめとする複数の脆弱性

baserCMS5にXSSをはじめとする複数の脆弱性があります。
対象となる方は、早急に新バージョンへアップデートをお願いします。

対象

baserCMS 5.0.8 およびそれ以前のバージョン

脆弱性

1. サイト内検索機能におけるXSSの脆弱性(CVE-2023-44379)
2. コンテンツ管理機能におけるXSSの脆弱性(CVE-2024-26128)
3. インストーラーにおけるOSコマンドインジェクションの脆弱性(CVE-2023-51450)

1.については管理画面を不特定多数のユーザーに利用させている場合のみに対応が必要となる脆弱性です。
また、3.については、baserCMSを設置し、インストールせずに放置した場合に対応が必要となる脆弱性です。

対策

baserCMSの最新バージョンにアップデートを行う

なお、1 については、ご利用のテーマにおいて、site_search_form.php または、search.php というファイルがないか確認し、あれば中身について次のように変更してください。(自動アップデートでは対応できない箇所となります)

// 次の行を探す
BcForm->control('q', ['escape' => false]) ?>
↓
// ['escape' => false] を削除
BcForm->control('q') ?>

// 次の行を探す
BcBaser->formControl('q', ['placeholder' => __d('baser_core', 'キーワード'), 'escape' => false, 'div' => false]) ?>
↓
// 'escape' => false, を削除
BcBaser->formControl('q', ['placeholder' => __d('baser_core', 'キーワード'), 'div' => false]) ?>

 

なお、baserCMS4系をご利用の場合は、2024年04月04日公開 baserCMS4系脆弱性対策方法 を確認して対策を施してください。

 

謝辞

  • 石井 健太郎@GMOサイバーセキュリティ byイエラエ株式会社
  • 谷崎 俊介
  • 内田 裕介@パーソルクロステクノロジー株式会社(届出時:所属なし)

 

=========================================================================

 

baserCMS has multiple vulnerabilities including XSS.
If you are affected by this issue, please update to the new version as soon as possible.

Target

baserCMS 5.0.8 and earlier versions

Vulnerability

If these vulnerabilities are exploited, arbitrary scripts or OS commands may be executed.

1. XSS vulnerability in Site search Feature(CVE-2023-44379)
2. XSS vulnerability in Content Management(CVE-2024-26128)
3. OS command injection vulnerability in Installer(CVE-2023-51450)

Regarding 1., it is a vulnerability that needs to be addressed only if the management screen is used by an unspecified number of users.
Regarding 3., it is a vulnerability that requires countermeasures when baserCMS installer files are uploaded to the server but not installed.

Countermeasures

Update to the latest version of baserCMS

Credits

  • Kentaro Ishii@GMO Cybersecurity by Ierae, Inc.
  • Shunsuke Tanizaki
  • Yusuke Uchida@PERSOL CROSS TECHNOLOGY CO., LTD. (Not affiliated at the time of report submission)