a-blog cms に複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は2月18日、a-blog cms における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。株式会社セキュアスカイ・テクノロジーの岩間湧氏、株式会社ラックの山根将司氏、株式会社ＳＴＮｅｔの森山響氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2022-24374、CVE-2022-23916、CVE-2022-23810
a-blog cms Ver.2.8.75 より前のバージョン (Ver.2.8.x系)
a-blog cms Ver.2.9.40 より前のバージョン (Ver.2.9.x系)
a-blog cms Ver.2.10.44 より前のバージョン (Ver.2.10.x系)
a-blog cms Ver.2.11.42 より前のバージョン (Ver.2.11.x系)
a-blog cms Ver.3.0.1 より前のバージョン (Ver.3.0.x系)

・CVE-2022-21142
a-blog cms Ver.2.8.74 より前のバージョン (Ver.2.8.x系)
a-blog cms Ver.2.9.39 より前のバージョン (Ver.2.9.x系)
a-blog cms Ver.2.10.43 より前のバージョン (Ver.2.10.x系)
a-blog cms Ver.2.11.41 より前のバージョン (Ver.2.11.x系)

　有限会社アップルップルが提供する a-blog cms には、クロスサイトスクリプティング（CVE-2022-24374、CVE-2022-23916）、テンプレートインジェクション（CVE-2022-23810）、認証回避（CVE-2022-21142）の脆弱性が存在する。

　想定される影響は各脆弱性により異なるが、当該製品にログインした状態のユーザのWebブラウザ上で任意のスクリプトを実行される（CVE-2022-24374）、当該製品の管理者のWebブラウザ上で任意のスクリプトを実行される（CVE-2022-23916）、遠隔のユーザによってサーバ上の任意のファイルを窃取される（CVE-2022-23810）、遠隔の第三者によって特定の条件下において認証を回避される（CVE-2022-21142）可能性がある。

　JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。