「bingo!CMS」に脆弱性、至急更新を - すでに悪用も
シフトテックが提供するコンテンツマネジメントシステム(CMS)の「bingo!CMS」に脆弱性が明らかとなった。すでに脆弱性の悪用が確認されているという。
認証を回避し、不正なコードを含むファイルのアップロードが可能となる脆弱性「CVE-2022-42458」が明らかとなったもの。アップロードされた不正なファイルを悪用することで、不正なファイルの作成、ファイルの改ざん、任意のスクリプトの実行などが可能となる。
周知を目的に同社が情報処理推進機構(IPA)へ報告。公表にあたりJPCERTコーディネーションセンターが調整を行った。同センターでは、共通脆弱性評価システム「CVSSv3.1」において同脆弱性のベーススコアを「7.5」と評価している。
同社では、脆弱性を修正した「同1.7.4.2」を公開。アップデートを呼びかけている。「同1.6.x」を利用している場合、本来バージョンアップライセンスが必要となるが、今回は無償で最新版を提供するという。
「同1.5」以下については、すでにサポートを終了しており、有償のバージョンアップが必要になる。
なお、クラウド版はすでに修正済みとしており、「bingo!CMSエンタープライズ版」「bingo!Express」は、今回の脆弱性の影響は受けないとしている。
(Security NEXT - 2022/10/11 )
ツイート
PR
関連記事
ソフトバンクのメッシュWi-Fiルータに複数の脆弱性
GitLabに複数の脆弱性 - 重要なセキュリティ修正を含むアップデートを公開
「PAN-OS」の管理画面が外部公開されていないか確認を
Ivantiのリモートアクセス製品に脆弱性 - 「クリティカル」も複数
頻繁に悪用された脆弱性トップ15 - 多くでゼロデイ攻撃も
「Ivanti EPM」に深刻な脆弱性 - 修正パッチを提供
ビデオ会議サービス「Zoom」アプリに6件の脆弱性 - 最新版へ更新を
Citrixの複数製品に脆弱性、アップデートで修正
WindowsやCisco ASAなど脆弱性5件の悪用に注意呼びかけ - 米当局
「Chrome 131」をリリース - 12件のセキュリティ修正