Concrete CMS 8以前のバージョンにCSRF脆弱性。Webサイトへの対策について (CVE-2021-22954)

こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。

2022年2月にバージョン8以前のConcrete CMSについて CSRF脆弱性（CVE-2021-22954）が発表されました。

悪用されるとサイト利用者の意図しないリクエストを引き起こされる可能性があり、アメリカ国立標準技術研究所の脆弱性データベースでは危険度がHighとなっています。

バージョン８以前の Concrete CMS を利用している場合、不正サイトにアクセスしてしまったサイト利用者から意図しないリクエストを送られる可能性があります。

脆弱性の対象となるバージョン

バージョン８以前のConcrete CMS は全て本脆弱性の影響を受ける可能性があります。

Concrete CMS バージョン９以降では本脆弱性は修正されています。バージョン８以前を利用している場合は公式サイトの指示に従い、Cross-Origin-Resource-Policy ヘッダを指定するようにApacheやNginxの設定を変更する必要があります。

単一ドメインでSSL接続のみの場合であれば上記ページの記載例通りとなりますが、外部のドメインに通信するようなサイトでは動作に影響が出る可能性もあるため、検証サーバで事前の動作確認が必要です。

不正サイトにアクセスしてしまったサイト利用者から意図しないリクエストを送られる可能性があります。

サイトによっては利用者のログイン権限を悪用して、利用者以外には知り得ない機密情報を抜き取られてしまう可能性もあります。

ログイン機能のないサイトでも、問い合わせフォームを悪用したスパムメール送信が可能になってしまうリスクがあるため注意が必要です。

Concrete CMSはConcrete 5 としてオープンソース化されてから10年以上利用され続けており、PHP、MySQLで動作することから手軽にサイト運営ができる人気のCMSです。

人気の高いCMSを使ったサイトは脆弱性をついた攻撃対象として狙われやすいというリスクもあるため、日々のセキュリティ管理が重要です。

弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。

サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。

「クロジカサーバー管理」の詳しい内容がわかる資料をご用意しました。