---

a-blog cms で複数の脆弱性が見つかりました。 すでに問題に対応したバージョンはリリースしておりますので、該当のバージョンに当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。

今回は見つかった脆弱性は以下の3つです。

• クロスサイトスクリプティング
• テンプレートインジェクション
• IPアドレスによるログイン制限の突破

---

JVN識別番号

• JVN#14706307

---

クロスサイトスクリプティング・テンプレートインジェクション

問題の対象となる状態

プロフィールページのユーザー名または、デフォルトテーマのテンプレートのエントリータイトルがサニタイズせず出力しているため、クロスサイトスクリプティングまたはテンプレートインジェクションの脆弱性が存在します。
信頼されない投稿者以上のユーザーがログインするサイト、または会員機能がありユーザーが名前を入力できるようにしているサイトの場合は、ご対応をお願いいたします。

影響を受けるバージョン

• a-blog cms Ver. 3.0.1 より前のバージョン (Ver.3.0.x系)
• a-blog cms Ver. 2.11.42 より前のバージョン (Ver.2.11.x系)
• a-blog cms Ver. 2.10.44 より前のバージョン (Ver.2.10.x系)
• a-blog cms Ver. 2.9.40 より前のバージョン (Ver.2.9.x系)
• a-blog cms Ver. 2.8.75 より前のバージョン (Ver.2.8.x系)
• a-blog cms Ver. 2.8.0 未満のバージョン（フィックスバージョンはありません）

IPアドレスによるログイン制限の突破

問題の対象となる機能

管理ページ > コンフィグ > アクセス制限にある 「ログイン制限」「権限制限」「ベーシック認証（認証スキップ）」 機能をご利用の場合

詳細

IPアドレスによるログイン制限を突破されてしまう可能性が存在します。 管理ページ > コンフィグ > アクセス制限にある 「ログイン制限」 機能をご利用の場合は、アップデートをお願いいたします。
（※この脆弱性によりIPアドレスによる制限は突破される可能性がありますが、ログイン機能自体に脆弱はなく、ユーザー名とパスワードによる認証は正常に機能します。）

影響を受けるバージョン

• a-blog cms Ver.2.11.41 より前のバージョン (Ver.2.11.x系)
• a-blog cms Ver.2.10.43 より前のバージョン (Ver.2.10.x系)
• a-blog cms Ver.2.9.39 より前のバージョン (Ver.2.9.x系)
• a-blog cms Ver.2.8.74 より前のバージョン (Ver.2.8.x系)
• a-blog cms Ver. 2.8.0 未満のバージョン（フィックスバージョンはありません）

問題への対応方法

各マイナーバージョン毎にフィックスバージョンがリリースしております。 「影響を受けるバージョン」 よりも新しいフィックスバージョンにアップデートを行なってください。

バージョンアップ 以外の対応方法

• IPアドレスによるログイン制限機能の代わりに、.htaccessなどのWebサーバー側の機能を利用する
• エントリータイトルを出力しているテンプレートを確認しエスケープ漏れしていないか確認する（[raw]校正オプションがついていたら削除し、escape校正オプションを追加）
• 会員サイトの場合、名前を出力している箇所を確認し、エスケープ漏れしていないか確認する（[raw]校正オプションがついていたら削除し、escape校正オプションを追加）またグローバル変数「%{USER_NAME}」「 %{SESSION_USER_NAME}」 を利用している場合は、使用しないようにテンプレートを修正する。

この度はご迷惑をおかけしてしまい申し訳ございません。
該当する問題がありましたら、お早めにバージョンアップのご検討をお願いいたします。 また、迅速にご報告いただいたユーザーの皆さま、誠にありがとうございました。

今後もご報告いただいた内容に対して真摯に受け止め修正と改善を行ってまいります。 よろしくお願いいたします。

本件に関するお問い合わせ先

本件についてご不明点などありましたら以下のお問い合わせよりご連絡ください。

有限会社アップルップル
メールアドレス：info@a-blogcms.jp
お問い合わせフォーム：https://www.a-blogcms.jp/contact/

2.0系の一部モジュールに不具合が見つかりました。

バージョン2.0.0、2.0.0.1, 2.0.0.2のRSSで本文が表示されない不具合が 発見されました。2.0.0.3にアップデート、または2.0.0.3の特定のファイルを差し替えて 対応をお願いいたします。

対応方法

以下のダウンロードページよりv2.0.0.3をダウンロード。

http://www.a-blogcms.jp/download/

v2.0.0.3にアップデート。または、/themes/system/rss2.xml をv2.0.0.3のものに置き換える。

この度は大変ご迷惑をお掛けしてしまい申し訳ございません。

今後ともa-blog cmsをよろしくお願い致します。

---

現象

以下のバージョンで、ページキャッシュなしのレスポンスで、noindexとしてページを出力してしまう問題が確認されました。 ページキャッシュ有りでのレスポンスは問題なく出力されております。

• Ver. 3.0.11（7/2 15:00 以前にダウンロードしたパッケージ）
• Ver. 3.0.12（7/2 15:00 以前にダウンロードしたパッケージ）

これによりページキャッシュ無しの設定（デバッグモードONやキャッシュOFF）になっている場合や、 検索ロボット（クローラ）が来るタイミングによって、ページが「noindex」として検索されなくなってしまう危険性があります。

対応方法

Ver. 3.0.11, Ver. 3.0.12 をご利用の場合は、以下の方法どちらかの対応をお願いいたします。

方法1

Ver. 3.0.13 以上にアップデートしていただくことで解決します。

方法2

各バージョンにあったパッチを設置ください。 設置ファイルは「php/main.php」となります。

---

---

---

原因

Ver. 3.0.11での修正「CMS-5958 User-Agent Client HintsによるUA判定に対応 & ルールからiPad判定を削除」で、間違ったプログラム修正をおこなっており今回の問題が発生しておりました。修正はプルリクエストによるコードレビューを通しているのですが、コードレビューでも見落とされてしまっておりました。今後このような事はないよう、リリース前の自動チェックなど対策を検討してまいります。

この度は、多大なるご迷惑をおかけしてしまい大変申し訳ございませんでした。
大変お手数ですが、ご対応のほどよろしくお願いいたします。

---

現象

以下の条件の場合、メディア機能で jpegやpng画像がアップロードできない現象がみつかりました。

再現する環境

• a-blog cms Ver. 3.0.14
• php8.0以上
• 画像エンジンがGD
• GDがWebpフォーマットをサポート

対応方法

方法1

画像エンジンのImagickが利用できる環境の場合、画像エンジンをGDからImagickに変更することで対応できます。

private/config.system.yaml に以下を追加

image_magick : on

方法2

Webp画像を生成しないようにする事で、対応することができます。

private/config.system.yaml に以下を追加

webp_support: off

方法3

近日中にこちらの不具合を修正した Ver. 3.0.15 をリリースします。リリース後 Ver. 3.0.15 にアップデートして対応します。

---

この度は、ご迷惑をおかけしてしまい大変申し訳ございませんでした。
大変お手数ですが、ご対応のほどよろしくお願いいたします。

---

現象

以下の条件の場合、ダイレクト編集をするとユニットが消えてしまう不具合が発見されました

再現する環境

• a-blog cms Ver. 3.1.0 〜 Ver. 3.1.2
• ダイレクト編集で、エントリーのタイトルをクリックしてタイトルやカスタムフィールドを保存した場合

対応方法

この問題が修正された、Ver. 3.1.3 がリリースされています。Ver. 3.1.0 〜 Ver. 3.1.2 をお使いの場合は、お手数ですがアップデートをお願いいたします。

---

この度は、ご迷惑をおかけしてしまい大変申し訳ございませんでした。
大変お手数ですが、ご対応のほどよろしくお願いいたします。