| タイトル | baserCMS における複数の脆弱性 |
|---|---|
| 概要 | baserCMSユーザー会が提供する baserCMS には、次の複数の脆弱性が存在します。 ・OS コマンドインジェクション (CWE-78) - CVE-2021-41243 ・DB レストアにおける任意のコードをアップロード可能な脆弱性 (CWE-434) - CVE-2021-41279 CVE-2021-41243 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社 NTT-ME 赤木 悠祐 氏 CVE-2021-41279 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 発見者: SoterITSecurity Daniele Scanu 氏 |
| 想定される影響 | 想定される影響は各脆弱性により異なりますが、当該製品にサイト運営者権限でログイン可能なユーザによって、次のような影響を受ける可能性があります。 ・任意の OS コマンドを実行される - CVE-2021-41243 ・不正なコードをアップロードされる。結果として任意のコードを実行される - CVE-2021-41279 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 当該脆弱性は、baserCMS 4.5.4 で修正されています。 |
| 公表日 | 2021年11月26日0:00 |
| 登録日 | 2021年11月26日12:06 |
| 最終更新日 | 2021年11月26日12:06 |
| CVSS3.0 : 重要 | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CVSS2.0 : 危険 | |
| スコア | 9 |
|---|---|
| ベクター | AV:N/AC:L/Au:S/C:C/I:C/A:C |
| baserCMSユーザー会 |
| baserCMS 4.5.4 より前のバージョン |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2021年11月26日] 掲載 |
2021年11月22日14:50 |
| 概要 | There is a Potential Zip Slip Vulnerability and OS Command Injection Vulnerability on the management system of baserCMS. Users with permissions to upload files may upload crafted zip files which may execute arbitrary commands on the host operating system. This is a vulnerability that needs to be addressed when the management system is used by an unspecified number of users. If you are eligible, please update to the new version as soon as possible. |
|---|---|
| 公表日 | 2021年11月27日3:15 |
| 登録日 | 2021年11月27日10:00 |
| 最終更新日 | 2024年11月21日15:25 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:basercms:basercms:*:*:*:*:*:*:*:* | 4.5.4 | ||||
| 概要 | BaserCMS is an open source content management system with a focus on Japanese language support. In affected versions users with upload privilege may upload crafted zip files capable of path traversal on the host operating system. This is a vulnerability that needs to be addressed when the management system is used by an unspecified number of users. If you are eligible, please update to the new version as soon as possible. |
|---|---|
| 公表日 | 2021年11月27日3:15 |
| 登録日 | 2021年11月27日10:00 |
| 最終更新日 | 2024年11月21日15:25 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:basercms:basercms:*:*:*:*:*:*:*:* | 4.5.4 | ||||