a-blog cms に複数の脆弱性。サイトへの影響と対策について解説します (CVE-2022-24374・他3件)

こんにちは。「SiteCloud」プリセールスの高瀬です。

2022年2月に国産CMSのa-blog cmsについて脆弱性(CVE-2022-24374、CVE-2022-23916、CVE-2022-23810、CVE-2022-21142)が発表されました。

クロスサイトスクリプティングを引き起こされる可能性があり、JVNではいずれも中程度の危険度として発表されています。

https://jvn.jp/jp/JVN14706307/

情報発信のみのサイトであればほぼ影響はありませんが、不特定多数のユーザーが何らか投稿できるようなサイトでは注意が必要です。

脆弱性の概要と対象バージョン

クロスサイトスクリプティング/テンプレートインジェクション

・概要

細工された投稿を閲覧したユーザーのブラウザ上で意図しないスクリプトを実行される危険性があります。不正な投稿を閲覧したユーザーがスパムサイトに誘導されてしまうリスクがあります。

・対象バージョン

a-blog cms Ver.2.8.75 より前のバージョン (Ver.2.8.x系)

a-blog cms Ver.2.9.40 より前のバージョン (Ver.2.9.x系)

a-blog cms Ver.2.10.44 より前のバージョン (Ver.2.10.x系)

a-blog cms Ver.2.11.42 より前のバージョン (Ver.2.11.x系)

a-blog cms Ver.3.0.1 より前のバージョン (Ver.3.0.x系)

IPアドレスによるログイン制限の突破

・概要

CMS側の特定の設定状況下でIPアドレスによるCMSへのログイン制限を突破されてしまう可能性があります。

・対象バージョン

a-blog cms Ver.2.8.74 より前のバージョン (Ver.2.8.x系)

a-blog cms Ver.2.9.39 より前のバージョン (Ver.2.9.x系)

a-blog cms Ver.2.10.43 より前のバージョン (Ver.2.10.x系)

a-blog cms Ver.2.11.41 より前のバージョン (Ver.2.11.x系)

脆弱性の対策

対策としては、メーカーから修正バージョンが出ていますので、バージョンアップを行う形になります。

https://developer.a-blogcms.jp/blog/news/security-202202.html

Webサイトへの影響について

クロスサイトスクリプティング/テンプレートインジェクションについては主にサイトへの投稿によって発生するため、不特定多数のユーザーがサイトへコメントなどを投稿できる仕組みになっている場合には注意が必要です。

IPアドレスによるログイン制限の突破についてはBasic認証や.htaccessなどで別途制限をかけている状態であれば、影響する可能性は低くなります。また、CMSのパスワードを推測されにくいものにしておくことも必要です。

さいごに

Webサイトをリリースした後も、日々CMSやミドルウェアの脆弱性対策が必要です。

弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。

サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。

コーポレートサイトをクラウドでセキュアに

SiteCloudガイドブック

「SiteCloud」の詳しい内容が分かる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • SiteCloudの主な機能
  • 導入事例
  • 導入までの流れ

関連する解決策

最新記事

タグ

詳しい資料をご覧いただけます

    サイバーの鎧のサービス内容を記載した資料をダウンロードできます。
             

【無料診断実施中】サーバーセキュリティ診断

経験豊富なセキュリティ専門技術者が、サーバーの状況を診断して、分かりやすい診断結果と今後の対応策をご覧いただけます。

無料サーバー診断申し込み
close