サポート

お知らせ

レンタルサーバーのWADAX お知らせすべて【注意喚起】baserCMS における複数の脆弱性

2018.05.22

お客さま各位


平素は格別のご高配を賜り厚く御礼申し上げます。

baserCMSに、コードインジェクションをはじめとする複数の脆弱性が公表されました。

下記をご確認いただくとともに、対象バージョンをご利用のお客さまにおかれましては、
修正済みのバージョンへのアップデートを行っていただけますようお願い申し上げます。

想定される影響

 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

 1.遠隔の第三者によって、運営管理者の権限で任意のコードを実行される
 2.当該製品にサイト運営者権限でログインできるユーザによって、任意の OS コマンドを実行される
 3.当該製品にサイト運営者権限でログインできるユーザによって、任意のファイルをアップロードされる
 4.当該製品にサイト運営者権限でログインできるユーザによって、アクセスを制限されているコンテンツを閲覧されたり、改ざんされたりする
 5.遠隔の第三者によって、サイト利用者がアップロードしたファイルを閲覧される
 6.テーマ管理画面にアクセスしているユーザのウェブブラウザ上で、任意のスクリプトを実行される
 7.遠隔の第三者によって、サイト利用者がアップロードしたファイルを閲覧される


脆弱性の影響を受けるバージョン

 ・baserCMS 4.1.0.1 およびそれ以前のバージョン
 ・baserCMS 3.0.15 およびそれ以前のバージョン


対策

 ■上記2、3、5、6、7への対策

 アップデートする
 開発者が提供する情報をもとに、最新版へアップデートしてください。

 なお開発者によると、上記の5、7については、アクセス権限の問題などにより、インストールが正常に完了していない場合に発生する可能性がある脆弱性であり、正常にインストールが完了している場合には発生しないとのことです。


 ■上記1への対策

 最新版へアップデートし、ユーザ認証を設定する
 最新版へのアップデート後に、ユーザ認証の有効、無効を選択してください。
 ユーザ認証が有効な場合は、記事中へのスクリプトの保存について、システム管理者権限を要求します。
 開発者によると最新版へのアップデート後、システム管理グループ以外のユーザについてはユーザ認証が全て無効となり、有効、無効をあらためて選択することが可能になるとのことです。
 なお、最新のインストーラで新規にインストールする際には、ユーザ認証は全て有効になります。


 ■上記4への対策

 ワークアラウンドを実施する
 コンテンツ管理機能でアクセス制限を行う際には、該当ページの URLを全て登録してください。
 詳細は開発者が提供する情報を参照ください。


参考情報

ページTop

Copyright (C) 2000- GMO CLOUD K.K., all rights reserved.