JVNに報告された脆弱性への対応について

この記事は公開日より2年以上経過しているため、現在の内容と異なる可能性があります。


a-blog cms で複数の脆弱性が見つかりました。 すでに問題に対応したバージョンはリリースしておりますので、該当のバージョンに当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。

今回は見つかった脆弱性は以下の3つです。

  • クロスサイトスクリプティング
  • テンプレートインジェクション
  • IPアドレスによるログイン制限の突破

JVN識別番号

  • JVN#14706307

クロスサイトスクリプティング・テンプレートインジェクション

問題の対象となる状態

プロフィールページのユーザー名または、デフォルトテーマのテンプレートのエントリータイトルがサニタイズせず出力しているため、クロスサイトスクリプティングまたはテンプレートインジェクションの脆弱性が存在します。
信頼されない投稿者以上のユーザーがログインするサイト、または会員機能がありユーザーが名前を入力できるようにしているサイトの場合は、ご対応をお願いいたします。

影響を受けるバージョン

  • a-blog cms Ver. 3.0.1 より前のバージョン (Ver.3.0.x系)
  • a-blog cms Ver. 2.11.42 より前のバージョン (Ver.2.11.x系)
  • a-blog cms Ver. 2.10.44 より前のバージョン (Ver.2.10.x系)
  • a-blog cms Ver. 2.9.40 より前のバージョン (Ver.2.9.x系)
  • a-blog cms Ver. 2.8.75 より前のバージョン (Ver.2.8.x系)
  • a-blog cms Ver. 2.8.0 未満のバージョン(フィックスバージョンはありません)

IPアドレスによるログイン制限の突破

問題の対象となる機能

管理ページ > コンフィグ > アクセス制限にある 「ログイン制限」「権限制限」「ベーシック認証(認証スキップ)」 機能をご利用の場合

詳細

IPアドレスによるログイン制限を突破されてしまう可能性が存在します。 管理ページ > コンフィグ > アクセス制限にある 「ログイン制限」 機能をご利用の場合は、アップデートをお願いいたします。
(※この脆弱性によりIPアドレスによる制限は突破される可能性がありますが、ログイン機能自体に脆弱はなく、ユーザー名とパスワードによる認証は正常に機能します。)

影響を受けるバージョン

  • a-blog cms Ver.2.11.41 より前のバージョン (Ver.2.11.x系)
  • a-blog cms Ver.2.10.43 より前のバージョン (Ver.2.10.x系)
  • a-blog cms Ver.2.9.39 より前のバージョン (Ver.2.9.x系)
  • a-blog cms Ver.2.8.74 より前のバージョン (Ver.2.8.x系)
  • a-blog cms Ver. 2.8.0 未満のバージョン(フィックスバージョンはありません)

問題への対応方法

各マイナーバージョン毎にフィックスバージョンがリリースしております。 「影響を受けるバージョン」 よりも新しいフィックスバージョンにアップデートを行なってください。

バージョンアップ 以外の対応方法

  • IPアドレスによるログイン制限機能の代わりに、.htaccessなどのWebサーバー側の機能を利用する
  • エントリータイトルを出力しているテンプレートを確認しエスケープ漏れしていないか確認する([raw]校正オプションがついていたら削除し、escape校正オプションを追加)
  • 会員サイトの場合、名前を出力している箇所を確認し、エスケープ漏れしていないか確認する([raw]校正オプションがついていたら削除し、escape校正オプションを追加)またグローバル変数「%{USER_NAME}」「 %{SESSION_USER_NAME}」 を利用している場合は、使用しないようにテンプレートを修正する。

この度はご迷惑をおかけしてしまい申し訳ございません。
該当する問題がありましたら、お早めにバージョンアップのご検討をお願いいたします。 また、迅速にご報告いただいたユーザーの皆さま、誠にありがとうございました。

今後もご報告いただいた内容に対して真摯に受け止め修正と改善を行ってまいります。 よろしくお願いいたします。

本件に関するお問い合わせ先

本件についてご不明点などありましたら以下のお問い合わせよりご連絡ください。

有限会社アップルップル
メールアドレス:info@a-blogcms.jp
お問い合わせフォーム:https://www.a-blogcms.jp/contact/

同じタグ付けがされている記事