脆弱性が発見されました

この記事は公開日より4年以上経過しているため、現在の内容と異なる可能性があります。

a-blog cms で利用しているライブラリに脆弱性が見つかりました。
影響範囲にあるバージョンをご利用の方は、大変お手数ですが以下対応をお願いいたします。

影響範囲

  • 2.10系: Ver. 2.10.23 未満のバージョン
  • 2.9系: Ver.2.9.26 未満のバージョン
  • 2.8系: Ver.2.8.64 未満のバージョン
  • 2.7系: 全てのバージョン

内容

使用しているPHPのライブラリにXSS脆弱性があり、このライブラリの該当ファイルに直接URLでアクセス(CMSを通さないアクセス)されると、JavaScriptが実行できてしまいます。

参照: JVN#10377257

対応方法

php/vendor/pear/http_request2/tests/ ディレクトリの削除をお願いいたします。このディレクトリ内にあるファイルは、CMSでは利用していませんので削除しても動作に影響はありません。

php/vendor/pear/http_request2/tests/ のディレクトリを削除いただければ、特にCMSのアップデートは必要ありません。

この度はご迷惑をおかけしてしまい大変申し訳ございませんでした。
今後ともa-blog cmsをよろしくお願いいたします。

同じタグ付けがされている記事

JVNで報告された脆弱性への対応について

a-blog cms で複数の脆弱性が見つかりました。 該当の状況に当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。 JVN識別番号 JVN#70977403 今回は見つかった脆弱性は以下になります。 エントリー...

続きを読む

JVNで報告された脆弱性への対応について

a-blog cms で脆弱性が見つかりました。 該当の状況に当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。 JVN識別番号 JVN#48443978 今回は見つかった脆弱性は「Ping送信機能のディレクトリトラ...

続きを読む

JVNで報告されたVer. 3.1系の脆弱性への対応について

a-blog cms Ver. 3.1系で脆弱性が見つかりました。 該当の状況に当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。 JVN識別番号 JVN#48966481 今回は見つかった脆弱性は「URL偽装の脆弱性」にな...

続きを読む

JVNに報告された脆弱性への対応について

a-blog cms で複数の脆弱性が見つかりました。 すでに問題に対応したバージョンはリリースしておりますので、該当のバージョン・状況に当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。 JVN識...

続きを読む

【重要なお知らせ】変数の仕様変更について

再仕様変更 以下のバージョン以上で、仕様が更に変更されました。 a-blog cms Ver. 3.1.12 a-blog cms Ver. 3.0.32 a-blog cms Ver. 2.11.61 a-blog cms Ver. 2.10.53 仕様変更前は、「raw」校正オプションが付与...

続きを読む

JVNに報告された脆弱性への対応について

a-blog cms で複数の脆弱性が見つかりました。 すでに問題に対応したバージョンはリリースしておりますので、該当のバージョンに当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。 今回は見つか...

続きを読む