公開日:2024/04/10 最終更新日:2024/04/10
JVN#70977403
a-blog cmsにおける複数の脆弱性
a-blog cmsには、複数の脆弱性が存在します。
CVE-2024-30419、CVE-2024-31394、CVE-2024-31395
- a-blog cms Ver.3.1.12 より前のバージョン(Ver.3.1.x系)
- a-blog cms Ver.3.0.32 より前のバージョン(Ver.3.0.x系)
- a-blog cms Ver.2.11.61 より前のバージョン(Ver.2.11.x系)
- a-blog cms Ver.2.10.53 より前のバージョン(Ver.2.10.x系)
CVE-2024-30420、CVE-2024-31396
- a-blog cms Ver.3.1.12 より前のバージョン(Ver.3.1.x系)
- a-blog cms Ver.3.0.32 より前のバージョン(Ver.3.0.x系)
有限会社アップルップルが提供するa-blog cmsには、次の複数の脆弱性が存在します。
- エントリー編集ページにおける格納型クロスサイトスクリプティング(CWE-79)
- CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4
- CVE-2024-30419
- サーバサイドリクエストフォージェリ(CWE-918)
- CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N 基本値 4.4
- CVE-2024-30420
- ディレクトリトラバーサル(CWE-22)
- CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 基本値 6.5
- CVE-2024-31394
- スケジュールのラベル設定画面における格納型クロスサイトスクリプティング(CWE-79)
- CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4
- CVE-2024-31395
- コードインジェクション(CWE-94)
- CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.6
- CVE-2024-31396
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該製品にログイン可能な「投稿者」権限以上のユーザによって、当該製品を使用しているサイトにアクセスした第三者のブラウザ上で任意のスクリプトを実行される(CVE-2024-30419)
- 当該製品にログイン可能な「管理者」権限以上のユーザによって、当該サーバ内のファイル情報や外部公開していない内部サーバの情報が窃取される(CVE-2024-30420)
- 当該製品にログイン可能な「編集者」権限以上のユーザによって、当該サーバ内のファイル情報が窃取される(CVE-2024-31394)
- 当該製品にログイン可能な「編集者」権限以上のユーザによって、当該製品のスケジュール管理画面にアクセスしたユーザのブラウザ上で任意のスクリプトを実行される(CVE-2024-31395)
- 当該製品にログイン可能な「管理者」権限以上のユーザによって、当該サーバ上で任意のコマンドを実行される(CVE-2024-31396)
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
ワークアラウンドを実施する
CVE-2024-30420、CVE-2024-31394、CVE-2024-31395、CVE-2024-31396の脆弱性に対しては、開発者は、ワークアラウンドの適用も推奨しています。
詳細は、開発者が提供する情報を確認してください。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:静岡産業技術専門学校 田内 陸斗 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2024-30419 |
|
CVE-2024-30420 |
|
|
CVE-2024-31394 |
|
|
CVE-2024-31395 |
|
|
CVE-2024-31396 |
|
| JVN iPedia |
JVNDB-2024-000039 |
