Concrete CMS 8以前のバージョンにCSRF脆弱性。Webサイトへの対策について (CVE-2021-22954)

こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。

2022年2月にバージョン8以前のConcrete CMSについて CSRF脆弱性(CVE-2021-22954)が発表されました。

悪用されるとサイト利用者の意図しないリクエストを引き起こされる可能性があり、アメリカ国立標準技術研究所の脆弱性データベースでは危険度がHighとなっています。

https://nvd.nist.gov/vuln/detail/CVE-2021-22954

バージョン8以前の Concrete CMS を利用している場合、不正サイトにアクセスしてしまったサイト利用者から意図しないリクエストを送られる可能性があります。

脆弱性の対象となるバージョン

バージョン8以前のConcrete CMS は全て本脆弱性の影響を受ける可能性があります。

脆弱性の対策

Concrete CMS バージョン9以降では本脆弱性は修正されています。バージョン8以前を利用している場合は公式サイトの指示に従い、Cross-Origin-Resource-Policy ヘッダを指定するようにApacheやNginxの設定を変更する必要があります。

https://concrete5-japan.org/news/cve-2021-22954/

単一ドメインでSSL接続のみの場合であれば上記ページの記載例通りとなりますが、外部のドメインに通信するようなサイトでは動作に影響が出る可能性もあるため、検証サーバで事前の動作確認が必要です。

Webサイトへの影響について

不正サイトにアクセスしてしまったサイト利用者から意図しないリクエストを送られる可能性があります。

サイトによっては利用者のログイン権限を悪用して、利用者以外には知り得ない機密情報を抜き取られてしまう可能性もあります。

ログイン機能のないサイトでも、問い合わせフォームを悪用したスパムメール送信が可能になってしまうリスクがあるため注意が必要です。

さいごに

Concrete CMSはConcrete 5 としてオープンソース化されてから10年以上利用され続けており、PHP、MySQLで動作することから手軽にサイト運営ができる人気のCMSです。

人気の高いCMSを使ったサイトは脆弱性をついた攻撃対象として狙われやすいというリスクもあるため、日々のセキュリティ管理が重要です。

弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。

サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。

コーポレートサイトクラウドでセキュアに

コーポレートサイトをクラウドでセキュアに クロジカガイドブック

無料ではじめるサーバー管理
クロジカガイドブック

「クロジカサーバー管理」の詳しい内容がわかる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • クロジカサーバー管理の主な機能
  • 導入事例
  • 導入までの流れ

詳しい資料をご覧いただけます

クロジカサーバー管理のサービス内容を記載した資料をダウンロードできます。
クロジカの機能や事例が分かる
資料ダウンロード