2025年3月21日に発覚した重大な脆弱性により、皆様には多大なるご迷惑をおかけしておりますことを、心よりお詫び申し上げます。 本記事では、この脆弱性を悪用した攻撃への対策および対応について、改めてまとめております。 対応バージョンへのアップデート 脆弱性対応バージョンへのアップデートを必ずお願いします。 ...

2025年3月22日に重大な脆弱性に対応したバージョンがリリースされました。 ただ、脆弱性対応により以下のような不具合が発生したため修正バージョンをリリースいたしました。 修正された不具合 フォームログやカスタムユニットのデータが復元されない問題 正常のアクセスでもエラーログが出力されてしまう問題 インスト...

2025年3月21日 a-blog cms に重大な脆弱性が見つかりました。 今回は見つかった脆弱性は以下になります。 最新の対策・対応状況は 3月25日の「脆弱性についての対策・対応について」をご覧ください。 オブジェクトインジェクションの脆弱性 内容 オブジェクトインジェクションの脆弱性によって、攻撃ファイルをサーバー...

概要 Ver. 3.1.14 〜 Ver. 3.1.33 のバージョンで、脆弱性が発見されました。 クリティカルな問題になりますので、大変お手数ですが該当バージョンのお使いの方は以下対応をお願いいたします。 該当するバージョン Ver. 3.1.14 〜 Ver. 3.1.33 ワークアラウンド（応急処置） 該当バージョンをお使いで、アップデートが...

a-blog cms で複数の脆弱性が見つかりました。 該当の状況に当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。 JVN識別番号 JVN#70977403 今回は見つかった脆弱性は以下になります。 エントリー編集ページのクロスサイトスクリプティング（XSS） Webhook機能のサーバーサイドリクエストフォージェリ（S...

a-blog cms で脆弱性が見つかりました。 該当の状況に当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。 JVN識別番号 JVN#48443978 今回は見つかった脆弱性は「Ping送信機能のディレクトリトラバーサル」になります。 Ping機能の脆弱性 内容 編集者以上で利用できるPing送信機能を使用する事で、任意...

a-blog cms Ver. 3.1系で脆弱性が見つかりました。 該当の状況に当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。 JVN識別番号 JVN#48966481 今回は見つかった脆弱性は「URL偽装の脆弱性」になります。 URL偽装の脆弱性 内容 Ver. 3.1.0 で追加された「CMS-6194 登録ドメイン以外でもサイトが表示で...

a-blog cms で複数の脆弱性が見つかりました。 すでに問題に対応したバージョンはリリースしておりますので、該当のバージョン・状況に当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。 JVN識別番号 JVN#34565930 今回は見つかった脆弱性は以下の3つです。 メディア機能の不適切な入力検証・クロスサ...

再仕様変更 以下のバージョン以上で、仕様が更に変更されました。 a-blog cms Ver. 3.1.12 a-blog cms Ver. 3.0.32 a-blog cms Ver. 2.11.61 a-blog cms Ver. 2.10.53 仕様変更前は、「raw」校正オプションが付与されていることは関係なく、「allow_dangerous_tag」校正オプションが付与されていなければ、危険なタグは...

a-blog cms で複数の脆弱性が見つかりました。 すでに問題に対応したバージョンはリリースしておりますので、該当のバージョンに当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。 今回は見つかった脆弱性は以下の3つです。 クロスサイトスクリプティング テンプレートインジェクション IPアドレスによ...