独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月27日、baserCMSにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。三井物産セキュアディレクション株式会社の田中凱氏、VCSLab - Viettel Cyber Securityのquanlna2 (Le Nguyen Anh Quan) 氏とnamdi (Do Ich Nam) 氏とminhnn42 (Nguyen Ngoc Minh) 氏、任興典氏、フューチャーセキュアウェイブ株式会社の松本守礼氏が報告を行っている。影響を受けるシステムは以下の通り。
baserCMS 5.2.3より前のバージョン
baserCMSユーザー会が提供するbaserCMSには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・クロスサイトスクリプティング(CVE-2026-30879)
→当該製品を使用しているWebサイトにアクセスしたユーザーのWebブラウザ上で、任意のスクリプトが実行される
・OSコマンドインジェクション(CVE-2026-30880)
→攻撃者により任意のOSコマンドが実行される
・SQLインジェクション(CVE-2026-27697)
→攻撃者により任意のSQLクエリが実行される
・クロスサイトスクリプティング(CVE-2026-32734)
→当該製品を使用しているWebサイトにアクセスしたユーザーのWebブラウザ上で、任意のスクリプトが実行される
JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。
