CSRFをはじめとする複数の脆弱性

baserCMSは、複数の脆弱性が存在します。

影響を受けるシステム

• baserCMS 3.0.10 およびそれ以前のバージョン
• baserCMS 用プラグイン「ブログ」バージョン 3.0.10 およびそれ以前
• baserCMS 用プラグイン「メールフォーム」バージョン 3.0.10 およびそれ以前
• baserCMS 用プラグイン「フィードリーダー」バージョン 3.0.10 およびそれ以前
• baserCMS 用プラグイン「アップローダー」バージョン 3.0.10 およびそれ以前

詳細情報

• 管理システム全体におけるクロスサイトリクエストフォージェリの脆弱性
• 管理システム全体におけるクロスサイトスクリプティングの脆弱性

想定される影響

管理システムにログインしたユーザーが、悪意のある第三者がしかけた攻撃用Webページにアクセスする事により、意図しないコードを実行してしまう可能性があります。

対策方法

最新バージョンにアップデートする

最新バージョン 3.0.11 にアップデートすることで対応する事ができます。
次のページより最新バージョンのダウンロードを行い、リリースノートに基づきバージョンアップ作業を行います。
※ baserマーケットからダウンロードした baserCMS 用プラグイン「アップローダー」を使用している場合も、本アップデートにより最新の状態となります。

修正プログラムを適用する

早急に対応する場合には提供されている修正プログラムを適用します。

2016年9月28日配布 修正パッチ一覧

謝辞

この脆弱性情報公表にあたり、IPA、JPCERT/CC、報告者である、馬場 将次氏、三井物産セキュアディレクション株式会社 高江洲 勲氏、株式会社ファイブドライブ 日留川 紀彦 氏、沖縄工業高等専門学校 安里 眞夢 氏に謝辞を申し上げます。