baserCMS における複数の脆弱性
| Title |
baserCMS における複数の脆弱性
|
| Summary |
baserCMSユーザー会が提供する baserCMS には、次の複数の脆弱性が存在します。 ・OS コマンドインジェクション (CWE-78) - CVE-2021-41243 ・DB レストアにおける任意のコードをアップロード可能な脆弱性 (CWE-434) - CVE-2021-41279 CVE-2021-41243 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社 NTT-ME 赤木 悠祐 氏 CVE-2021-41279 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 発見者: SoterITSecurity Daniele Scanu 氏
|
| Possible impacts |
想定される影響は各脆弱性により異なりますが、当該製品にサイト運営者権限でログイン可能なユーザによって、次のような影響を受ける可能性があります。 ・任意の OS コマンドを実行される - CVE-2021-41243 ・不正なコードをアップロードされる。結果として任意のコードを実行される - CVE-2021-41279 |
| Solution |
[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 当該脆弱性は、baserCMS 4.5.4 で修正されています。 |
| Publication Date |
Nov. 26, 2021, midnight |
| Registration Date |
Nov. 26, 2021, 12:06 p.m. |
| Last Update |
Nov. 26, 2021, 12:06 p.m. |
|
CVSS3.0 : 重要
|
| Score |
8.8
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
|
CVSS2.0 : 危険
|
| Score |
9
|
| Vector |
AV:N/AC:L/Au:S/C:C/I:C/A:C |
Affected System
| baserCMSユーザー会 |
|
baserCMS 4.5.4 より前のバージョン
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2021年11月26日]
掲載 |
Nov. 22, 2021, 2:50 p.m. |
NVD Vulnerability Information
CVE-2021-41243
| Summary |
There is a Potential Zip Slip Vulnerability and OS Command Injection Vulnerability on the management system of baserCMS. Users with permissions to upload files may upload crafted zip files which may execute arbitrary commands on the host operating system. This is a vulnerability that needs to be addressed when the management system is used by an unspecified number of users. If you are eligible, please update to the new version as soon as possible.
|
| Publication Date |
Nov. 27, 2021, 3:15 a.m. |
| Registration Date |
Nov. 27, 2021, 10 a.m. |
| Last Update |
Nov. 21, 2024, 3:25 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:basercms:basercms:*:*:*:*:*:*:*:* |
|
|
|
4.5.4 |
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-41279
| Summary |
BaserCMS is an open source content management system with a focus on Japanese language support. In affected versions users with upload privilege may upload crafted zip files capable of path traversal on the host operating system. This is a vulnerability that needs to be addressed when the management system is used by an unspecified number of users. If you are eligible, please update to the new version as soon as possible.
|
| Publication Date |
Nov. 27, 2021, 3:15 a.m. |
| Registration Date |
Nov. 27, 2021, 10 a.m. |
| Last Update |
Nov. 21, 2024, 3:25 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:basercms:basercms:*:*:*:*:*:*:*:* |
|
|
|
4.5.4 |
Related information, measures and tools
Common Vulnerabilities List