こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。
2022年2月に国産CMSのa-blog cmsについて脆弱性(CVE-2022-24374、CVE-2022-23916、CVE-2022-23810、CVE-2022-21142)が発表されました。
クロスサイトスクリプティングを引き起こされる可能性があり、JVNではいずれも中程度の危険度として発表されています。
https://jvn.jp/jp/JVN14706307/
情報発信のみのサイトであればほぼ影響はありませんが、不特定多数のユーザーが何らか投稿できるようなサイトでは注意が必要です。
脆弱性の概要と対象バージョン
クロスサイトスクリプティング/テンプレートインジェクション
・概要
細工された投稿を閲覧したユーザーのブラウザ上で意図しないスクリプトを実行される危険性があります。不正な投稿を閲覧したユーザーがスパムサイトに誘導されてしまうリスクがあります。
・対象バージョン
a-blog cms Ver.2.8.75 より前のバージョン (Ver.2.8.x系)
a-blog cms Ver.2.9.40 より前のバージョン (Ver.2.9.x系)
a-blog cms Ver.2.10.44 より前のバージョン (Ver.2.10.x系)
a-blog cms Ver.2.11.42 より前のバージョン (Ver.2.11.x系)
a-blog cms Ver.3.0.1 より前のバージョン (Ver.3.0.x系)
IPアドレスによるログイン制限の突破
・概要
CMS側の特定の設定状況下でIPアドレスによるCMSへのログイン制限を突破されてしまう可能性があります。
・対象バージョン
a-blog cms Ver.2.8.74 より前のバージョン (Ver.2.8.x系)
a-blog cms Ver.2.9.39 より前のバージョン (Ver.2.9.x系)
a-blog cms Ver.2.10.43 より前のバージョン (Ver.2.10.x系)
a-blog cms Ver.2.11.41 より前のバージョン (Ver.2.11.x系)
脆弱性の対策
対策としては、メーカーから修正バージョンが出ていますので、バージョンアップを行う形になります。
https://developer.a-blogcms.jp/blog/news/security-202202.html
Webサイトへの影響について
クロスサイトスクリプティング/テンプレートインジェクションについては主にサイトへの投稿によって発生するため、不特定多数のユーザーがサイトへコメントなどを投稿できる仕組みになっている場合には注意が必要です。
IPアドレスによるログイン制限の突破についてはBasic認証や.htaccessなどで別途制限をかけている状態であれば、影響する可能性は低くなります。また、CMSのパスワードを推測されにくいものにしておくことも必要です。
さいごに
Webサイトをリリースした後も、日々CMSやミドルウェアの脆弱性対策が必要です。
弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。
サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
