a-blog cms で利用しているライブラリに脆弱性が見つかりました。
影響範囲にあるバージョンをご利用の方は、大変お手数ですが以下対応をお願いいたします。

影響範囲

• 2.10系: Ver. 2.10.23 未満のバージョン
• 2.9系: Ver.2.9.26 未満のバージョン
• 2.8系: Ver.2.8.64 未満のバージョン
• 2.7系: 全てのバージョン

内容

使用しているPHPのライブラリにXSS脆弱性があり、このライブラリの該当ファイルに直接URLでアクセス（CMSを通さないアクセス）されると、JavaScriptが実行できてしまいます。

参照: JVN#10377257

対応方法

php/vendor/pear/http_request2/tests/ ディレクトリの削除をお願いいたします。このディレクトリ内にあるファイルは、CMSでは利用していませんので削除しても動作に影響はありません。

php/vendor/pear/http_request2/tests/ のディレクトリを削除いただければ、特にCMSのアップデートは必要ありません。

この度はご迷惑をおかけしてしまい大変申し訳ございませんでした。
今後ともa-blog cmsをよろしくお願いいたします。

---

近日 a-blog cms へのフォームで、大量のスパムメールが送信されてしまう報告をいくつか受けております。 被害が発生している方は、以下対応策をいくつか用意していますので、大変お手数ですがご対応のほどお願いいたします。

reCAPTCHA以外の対策は、対応してもスパムが止まらない可能性がございますので、reCAPTCHAの導入をおすすめいたします。

reCAPTCHAの導入

お問い合わせ者が、ロボットか判断するGoogleの「reCAPTCHA」サービスと連携する方法がございます。 a-blog cms の拡張アプリとして用意されていますので、こちらご検討ください。

2021/12/07 19:50追記

reCAPTCHA拡張アプリに一部不具合がありましたので、 2021/12/07 19:50以前にダウンロードしている場合は、お手数ですが再度ダウンロードしてファイルを置き換えをお願いいたします。

ダウンロードURL: https://github.com/appleple/acms-recaptcha/raw/master/build/recaptcha.zip

reCAPTCHAの拡張アプリに関する詳細はGitHubページをご確認ください。

---

フォームのURL変更

攻撃はURL指定でされる可能性が高いです。根本的な解決にはなりませんが、ひとまず攻撃をさけるためにはフォームのURLを変更ください。

攻撃者のIPアドレスでブロック

.htaccessなどで、攻撃者のIPアドレスをブロックします。ただし複数のIPアドレスで攻撃される可能性が高いのでイタチごっこになってしまう可能性がございます。 order allow,deny allow from all deny from xxx.xxx.xxx.xxx deny from yyy.yyy.yyy.yyy

CMSのアップデート

2.11, 2.10, 2.9, 2.8 のそれぞれのバージョンでセキュリティフィックスをリリースいたしました。これは攻撃方法によって管理画面のフォーム設定の「入力チェック・変換」が効かない場合がある問題が修正されております。CMSアップデート後、フォーム設定の「入力チェック・変換」項目を確認・設定ください。

---

フォーム設定の修正

フォームのセキュリティ設定について、ドキュメントを更新させていただきました。できるだけ、こちらで紹介されている設定にしていただくようにお願いします。

---

今後とも a-blog cms をよろしくお願いいたします。

---

reCAPTCHA拡張アプリに不具合が見つかりました。

2021年12月07日 19:50以前にダウンロードしてされた方は、お手数ですが再度ダウンロードしてファイルを置き換えをお願いいたします。

GitHub: https://github.com/appleple/acms-recaptcha

ダウンロードURL: https://github.com/appleple/acms-recaptcha/raw/master/build/recaptcha.zip

この度はご迷惑をおかけしてしまい申し訳ございません。 ご対応のほどよろしくお願いいたします。

---

a-blog cms で複数の脆弱性が見つかりました。 すでに問題に対応したバージョンはリリースしておりますので、該当のバージョンに当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。

今回は見つかった脆弱性は以下の3つです。

• クロスサイトスクリプティング
• テンプレートインジェクション
• IPアドレスによるログイン制限の突破

---

JVN識別番号

• JVN#14706307

---

クロスサイトスクリプティング・テンプレートインジェクション

問題の対象となる状態

プロフィールページのユーザー名または、デフォルトテーマのテンプレートのエントリータイトルがサニタイズせず出力しているため、クロスサイトスクリプティングまたはテンプレートインジェクションの脆弱性が存在します。
信頼されない投稿者以上のユーザーがログインするサイト、または会員機能がありユーザーが名前を入力できるようにしているサイトの場合は、ご対応をお願いいたします。

影響を受けるバージョン

• a-blog cms Ver. 3.0.1 より前のバージョン (Ver.3.0.x系)
• a-blog cms Ver. 2.11.42 より前のバージョン (Ver.2.11.x系)
• a-blog cms Ver. 2.10.44 より前のバージョン (Ver.2.10.x系)
• a-blog cms Ver. 2.9.40 より前のバージョン (Ver.2.9.x系)
• a-blog cms Ver. 2.8.75 より前のバージョン (Ver.2.8.x系)
• a-blog cms Ver. 2.8.0 未満のバージョン（フィックスバージョンはありません）

IPアドレスによるログイン制限の突破

問題の対象となる機能

管理ページ > コンフィグ > アクセス制限にある 「ログイン制限」「権限制限」「ベーシック認証（認証スキップ）」 機能をご利用の場合

詳細

IPアドレスによるログイン制限を突破されてしまう可能性が存在します。 管理ページ > コンフィグ > アクセス制限にある 「ログイン制限」 機能をご利用の場合は、アップデートをお願いいたします。
（※この脆弱性によりIPアドレスによる制限は突破される可能性がありますが、ログイン機能自体に脆弱はなく、ユーザー名とパスワードによる認証は正常に機能します。）

影響を受けるバージョン

• a-blog cms Ver.2.11.41 より前のバージョン (Ver.2.11.x系)
• a-blog cms Ver.2.10.43 より前のバージョン (Ver.2.10.x系)
• a-blog cms Ver.2.9.39 より前のバージョン (Ver.2.9.x系)
• a-blog cms Ver.2.8.74 より前のバージョン (Ver.2.8.x系)
• a-blog cms Ver. 2.8.0 未満のバージョン（フィックスバージョンはありません）

問題への対応方法

各マイナーバージョン毎にフィックスバージョンがリリースしております。 「影響を受けるバージョン」 よりも新しいフィックスバージョンにアップデートを行なってください。

バージョンアップ 以外の対応方法

• IPアドレスによるログイン制限機能の代わりに、.htaccessなどのWebサーバー側の機能を利用する
• エントリータイトルを出力しているテンプレートを確認しエスケープ漏れしていないか確認する（[raw]校正オプションがついていたら削除し、escape校正オプションを追加）
• 会員サイトの場合、名前を出力している箇所を確認し、エスケープ漏れしていないか確認する（[raw]校正オプションがついていたら削除し、escape校正オプションを追加）またグローバル変数「%{USER_NAME}」「 %{SESSION_USER_NAME}」 を利用している場合は、使用しないようにテンプレートを修正する。

この度はご迷惑をおかけしてしまい申し訳ございません。
該当する問題がありましたら、お早めにバージョンアップのご検討をお願いいたします。 また、迅速にご報告いただいたユーザーの皆さま、誠にありがとうございました。

今後もご報告いただいた内容に対して真摯に受け止め修正と改善を行ってまいります。 よろしくお願いいたします。

本件に関するお問い合わせ先

本件についてご不明点などありましたら以下のお問い合わせよりご連絡ください。

有限会社アップルップル
メールアドレス：info@a-blogcms.jp
お問い合わせフォーム：https://www.a-blogcms.jp/contact/

---

a-blog cms で複数の脆弱性が見つかりました。 すでに問題に対応したバージョンはリリースしておりますので、該当のバージョン・状況に当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。

JVN識別番号

• JVN#34565930

今回は見つかった脆弱性は以下の3つです。

• メディア機能の不適切な入力検証・クロスサイトスクリプティング
• メディア機能のパストラバーサル・ディレクトリトラバーサル
• フォームログのクロスサイトスクリプティング
• エントリ編集のクロスサイトスクリプティング

---

メディア機能の不適切な入力検証・クロスサイトスクリプティング

内容

• 攻撃者がCMSに投稿者以上でログイン。
• メディア機能を使って不適切なSVGファイルをアップロード。
• アップロードされたSVGのURLを踏むことにより、クロスサイトスクリプティングが発生。

攻撃条件

• 攻撃者が、投稿者以上の権限でCMSにログインできること
• メディア機能が利用できること
• アップロードされた不適切なSVGファイルのURLを直接開くこと

影響を受けるバージョン

• a-blog cms Ver. 3.1.6 以下のバージョン (Ver.3.1.x系)
• a-blog cms Ver. 3.0.28 以下のバージョン (Ver.3.0.x系)
• a-blog cms Ver. 2.11.57 以下のバージョン (Ver.2.11.x系)
• a-blog cms Ver. 2.10.49 以下のバージョン (Ver.2.10.x系)
• a-blog cms Ver. 2.9.0 以下のバージョン（フィックスバージョンはありません）

対応方法

各マイナーバージョン毎にフィックスバージョンがリリースしております。 「影響を受けるバージョン」 よりも新しいフィックスバージョンにアップデートを行なってください。

---

メディア機能のパストラバーサル・ディレクトリトラバーサル

内容

• 攻撃者がCMSに投稿者以上でログイン。
• メディア機能のリクエストを改ざんすることで、任意のファイルを削除することが可能。

攻撃条件

• 攻撃者が、投稿者以上の権限でCMSにログインできること
• メディア機能が利用できること

影響を受けるバージョン

• a-blog cms Ver. 3.1.6 以下のバージョン (Ver.3.1.x系)
• a-blog cms Ver. 3.0.28 以下のバージョン (Ver.3.0.x系)
• a-blog cms Ver. 2.11.57 以下のバージョン (Ver.2.11.x系)
• a-blog cms Ver. 2.10.49 以下のバージョン (Ver.2.10.x系)
• a-blog cms Ver. 2.9.0 以下のバージョン（フィックスバージョンはありません）

対応方法

各マイナーバージョン毎にフィックスバージョンがリリースしております。 「影響を受けるバージョン」 よりも新しいフィックスバージョンにアップデートを行なってください。

フォームログのクロスサイトスクリプティング

内容

• 攻撃者がサイトのフォームを使用して不適切なリクエストを行う。
• 管理者がCMSにログインして、フォームのログ確認画面に移動すると、クロスサイトスクリプティングが発生。

攻撃条件

• フォームが設置されていること
• フォームログを残す設定にしていること
• 管理者が管理画面からフォームログを確認する

影響を受けるバージョン

• a-blog cms Ver. 3.1.6 以下のバージョン (Ver.3.1.x系)
• a-blog cms Ver. 3.0.28 以下のバージョン (Ver.3.0.x系)
• a-blog cms Ver. 2.11.57 以下のバージョン (Ver.2.11.x系)
• a-blog cms Ver. 2.10.49 以下のバージョン (Ver.2.10.x系)
• a-blog cms Ver. 2.9.0 以下のバージョン（フィックスバージョンはありません）

対応方法

以下テンプレートの[raw]校正オプションを削除して修正ください。

themes/system/admin/form/log.html: 148行目

修正前

<td><p><a href="mailto:{mail_to}[raw]">{mail_to}</a></p></td>

修正後

<td><p><a href="mailto:{mail_to}">{mail_to}</a></p></td>

もしくは、各マイナーバージョン毎にフィックスバージョンがリリースしております。 「影響を受けるバージョン」 よりも新しいフィックスバージョンにアップデートを行なってください。

エントリ編集のクロスサイトスクリプティング

内容

• 攻撃者が投稿者以上でログインし、エントリーの編集を行う。
• テキストユニットで「ソース」や「マークダウン」に切り替え攻撃スクリプトを保存
• エントリーを公開することで、クロスサイトスクリプティングが発生

攻撃条件

• 攻撃者が、投稿者以上の権限でCMSにログインできること
• 攻撃者が、エントリーを編集して公開できること

影響を受けるバージョン

• a-blog cms Ver. 3.1.6 以下のバージョン (Ver.3.1.x系)
• a-blog cms Ver. 3.0.28 以下のバージョン (Ver.3.0.x系)
• a-blog cms Ver. 2.11.57 以下のバージョン (Ver.2.11.x系)
• a-blog cms Ver. 2.10.49 以下のバージョン (Ver.2.10.x系)
• a-blog cms Ver. 2.9.0 以下のバージョン（フィックスバージョンはありません）

対応方法

「影響を受けるバージョン」 よりも新しいフィックスバージョンにアップデートを行った後、以下対応を行います。

詳しくは以下記事をご参照ください。
https://developer.a-blogcms.jp/blog/news/specifications-change-vars.html

オプションの有効化

private/config.system.yaml に以下行を追記ください。

strip_dangerous_tag: on # on | off 変数から標準で危険なタグ（dangerous_tagsで指定）を削除するか指定

注意事項

上記のオプションを有効にすることで、エントリー編集でscriptタグやiframeタグを保存できなくなります。 サイトの運用上、編集画面にJavaScriptを書いている場合もあると思いますので、サイトの運用方法を確認した上で有効にしてください。

また、意図してscriptタグやiframeタグを保存したい場合もあると思います。（例えばアナリティクスのスクリプトなど） この場合は、該当の変数に [allow_dangerous_tag] オプションを付与ください。

■ 表示側の変数

{hoge}[raw|allow_dangerous_tag]

■ 編集画面の変数

<textarea name="hoge">{hoge}[allow_dangerous_tag]</textarea>

最後に

この度はご迷惑をおかけしてしまい大変申し訳ございません。
該当する問題がありましたら、お早めにバージョンアップのご検討をお願いいたします。 また、迅速にご報告いただいたユーザーの皆さま、誠にありがとうございました。

今後もご報告いただいた内容に対して真摯に受け止め修正と改善を行ってまいります。 よろしくお願いいたします。

本件に関するお問い合わせ先

本件についてご不明点などありましたら以下のお問い合わせよりご連絡ください。

有限会社アップルップル
メールアドレス：info@a-blogcms.jp
お問い合わせフォーム：https://www.a-blogcms.jp/contact/