コンテンツ管理システム (CMS)のひとつ「a-blog cms」に複数の脆弱性

有限会社アップルップルが提供する 「a-blog cms」に複数の脆弱性があると報じられております。

 

脆弱性情報

  • コメント機能にセッション管理不備

  • コメント機能の標準テンプレートにクロスサイトスクリプティング(XSS)

 

発見されたシステム・バージョン

  • バージョン 2.6.0.1 およびそれ以前

 

 

想定される影響

悪意のある第三者によって投稿された任意のコメントを削除されたり、コメント投稿者のメールアドレスを取得されたりする可能性があります。

また、ウェブブラウザ上で任意のスクリプトを実行される可能性があります。

 

 

対応方法

開発者情報を元にパッチを適用してください。

ベンダページ:http://developer.a-blogcms.jp/blog/patch/entry-2363.html

(現在の最新版はバージョン2.6.0.2です)

 

注意点として、当該製品をカスタマイズしている場合はテンプレートを直接編集する必要があるとのことで、詳しくはパッチ内のreadmeを参照してください、とのことです。

 

有限会社アップルップルは名古屋のWEB制作会社。

「a-blog cms」はWordPressのようにPHPプログラムの知識なく作れることが特徴のようです。

また、有料CMSですが、ローカル環境での利用はライセンス不要のようで、ためしにテスト環境で使ってみることもできます。

現在は、WordPressなどの外車が主流ですが、こちらのような国産車にも頑張ってもらいたいですね。

 

ご利用の方はパッチの早期適用をお勧めします。

 

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています