| Title | boidcmsにおけるPHP リモートファイルインクルージョンの脆弱性 |
|---|---|
| Summary | BoidCMSは、シンプルなウェブサイトやブログを構築するためのオープンソースのPHPベースのフラットファイルCMSであり、JSONをデータベースとして使用しています。バージョン2.1.3未満では、tplパラメータを介した重大なローカルファイルインクルージョン(LFI)攻撃の脆弱性が存在し、リモートコード実行(RCE)につながる可能性があります。本アプリケーションは、ページ作成および更新時にtpl(テンプレート)パラメータのサニタイズを行っておらず、このパラメータがパス検証なしにrequire_once()文に直接渡されます。認証された管理者は、tpl値にパストラバーサルシーケンス(../)を注入することで意図したテーマディレクトリから抜け出し、任意のファイル、特にサーバのmedia/ディレクトリからのファイルをインクルードできます。ファイルアップロード機能と組み合わせることで、攻撃者はまず埋め込まれたPHPコードを含むファイル(例:画像データに偽装)をアップロードし、その後パストラバーサル脆弱性を利用してrequire_once()経由でそのファイルをインクルードし、ウェブサーバー権限でコードを実行する完全なRCEチェーンを成立させることが可能です。この問題はバージョン2.1.3で修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 14, 2026, midnight |
| Registration Date | April 27, 2026, 11:21 a.m. |
| Last Update | April 27, 2026, 11:21 a.m. |
| CVSS3.0 : 重要 | |
| Score | 7.2 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| boidcms |
| boidcms 2.1.3 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月27日] 掲載 |
April 27, 2026, 11:21 a.m. |
| Summary | BoidCMS is an open-source, PHP-based flat-file CMS for building simple websites and blogs, using JSON as its database. Versions prior to 2.1.3 are vulnerable to a critical Local File Inclusion (LFI) attack via the tpl parameter, which can lead to Remote Code Execution (RCE).The application fails to sanitize the tpl (template) parameter during page creation and updates. This parameter is passed directly to a require_once() statement without path validation. An authenticated administrator can exploit this by injecting path traversal sequences (../) into the tpl value to escape the intended theme directory and include arbitrary files — specifically, files from the server's media/ directory. When combined with the file upload functionality, this becomes a full RCE chain: an attacker can first upload a file with embedded PHP code (e.g., disguised as image data), then use the path traversal vulnerability to include that file via require_once(), executing the embedded code with web server privileges. This issue has been fixed in version 2.1.3. |
|---|---|
| Publication Date | April 15, 2026, 8:16 a.m. |
| Registration Date | April 15, 2026, 11:42 a.m. |
| Last Update | April 24, 2026, 2:35 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:boidcms:boidcms:*:*:*:*:*:*:*:* | 2.1.3 | ||||