「baserCMS」に複数のクロスサイトスクリプティングの脆弱性 | ScanNetSecurity
2024.03.19(火)

「baserCMS」に複数のクロスサイトスクリプティングの脆弱性

IPAおよびJPCERT/CCは、baserCMSユーザー会が提供するCMS「baserCMS」の複数の脆弱性について「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月25日、baserCMSユーザー会が提供するCMS「baserCMS」の複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。CARTA HOLDINGSの小武裕也氏、および三井物産セキュアディレクションの井餘田笙悟氏がIPAに報告を行った。

 影響を受けるシステムは次の通り。

・baserCMS 4.7.2 より前のバージョン

 脆弱性は次の通り。

・お気に入り登録画面における格納型クロスサイトスクリプティング
(CVE-2022-39325)、CVSS v3による基本値は4.8
・アクセス制限設定画面における格納型クロスサイトスクリプティング
(CVE-2022-41994)、CVSS v3による基本値は4.8
・ユーザーグループ管理機能における格納型クロスサイトスクリプティング
(CVE-2022-42486)、CVSS v3による基本値は4.8

 これらの脆弱性が悪用されると、当該製品の管理画面にアクセスしたユーザのWebブラウザ上で、任意のスクリプトを実行される可能性がある。JVNでは、開発者が提供する情報をもとに、最新バージョンにアップデートするよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×