コンテンツ管理システム (CMS)のひとつ「a-blog cms」に複数の脆弱性

有限会社アップルップルが提供する 「a-blog cms」に複数の脆弱性があると報じられております。

 

脆弱性情報

  • コメント機能にセッション管理不備

  • コメント機能の標準テンプレートにクロスサイトスクリプティング(XSS)

 

発見されたシステム・バージョン

  • バージョン 2.6.0.1 およびそれ以前

 

 

想定される影響

悪意のある第三者によって投稿された任意のコメントを削除されたり、コメント投稿者のメールアドレスを取得されたりする可能性があります。

また、ウェブブラウザ上で任意のスクリプトを実行される可能性があります。

 

 

対応方法

開発者情報を元にパッチを適用してください。

 

注意点として、当該製品をカスタマイズしている場合はテンプレートを直接編集する必要があるとのことで、詳しくはパッチ内のreadmeを参照してください、とのことです。

 

有限会社アップルップルは名古屋のWEB制作会社。

「a-blog cms」はWordPressのようにPHPプログラムの知識なく作れることが特徴のようです。

また、有料CMSですが、ローカル環境での利用はライセンス不要のようで、ためしにテスト環境で使ってみることもできます。

現在は、WordPressなどの外車が主流ですが、こちらのような国産車にも頑張ってもらいたいですね。

 

ご利用の方はパッチの早期適用をお勧めします。

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています

2022年8月24日

Movable TypeのXMLRPC APIにコマンドインジェクションの脆弱性

2021年12月13日

Java用のログ出力ライブラリ「Log4j」にリモートコード実行の脆弱性

2021年12月2日

Movable TypeのXMLRPC APIにOSコマンドインジェクションの脆弱性