JVNで報告された脆弱性への対応について

---

a-blog cms で脆弱性が見つかりました。 該当の状況に当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。

JVN識別番号

• JVN#48443978

今回は見つかった脆弱性は「Ping送信機能のディレクトリトラバーサル」になります。

Ping機能の脆弱性

内容

編集者以上で利用できるPing送信機能を使用する事で、任意のファイル情報を閲覧することが可能。

攻撃条件

• 攻撃者が編集者以上の権限でログイン可能なこと

影響を受けるバージョン

• a-blog cms Ver. 3.1.9 以下のバージョン (Ver.3.1.x系)
• a-blog cms Ver. 3.0.30 以下のバージョン (Ver.3.0.x系)
• a-blog cms Ver. 2.11.59 以下のバージョン (Ver.2.11.x系)
• a-blog cms Ver. 2.10.51 以下のバージョン (Ver.2.10.x系)
• a-blog cms Ver. 2.9.x 以下のバージョン（フィックスバージョンはありません）

ワークアラウンド（回避方法）

以下ファイルを削除することで、Ping送信機能を無効にでき、今回の脆弱性を回避できます。

php/ACMS/POST/PingWeblogUpdate.php

CMSバージョンアップによる対応

Ping送信機能を利用したい場合は、CMSのアップデートをご検討ください。

各マイナーバージョン毎にフィックスバージョンがリリースしております。 「影響を受けるバージョン」 よりも新しいフィックスバージョンにアップデートを行なってください。

最後に

この度はご迷惑をおかけしてしまい大変申し訳ございません。
該当する問題がありましたら、お早めにバージョンアップのご検討をお願いいたします。 また、迅速にご報告いただいたユーザーの皆さま、誠にありがとうございました。

今後もご報告いただいた内容に対して真摯に受け止め修正と改善を行ってまいります。 よろしくお願いいたします。

本件に関するお問い合わせ先

本件についてご不明点などありましたら以下のお問い合わせよりご連絡ください。

有限会社アップルップル
メールアドレス：info@a-blogcms.jp
お問い合わせフォーム：https://www.a-blogcms.jp/contact/