Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

CMSの「Grav」に複数の脆弱性 - 「クリティカル」も

コンテンツマネジメントシステム(CMS)の「Grav」において、複数の脆弱性が明らかとなった。アップデートが提供されている。

「クリティカル」とされるものを含め、あわせて4件の脆弱性が判明したもの。「CVE-2023-34251」は、管理者画面に明らかとなったサーバサイドテンプレートインジェクション(SSTI)の脆弱性。

ページの編集権限を持つユーザーによってPHPコードを埋め込むことが可能となる脆弱性で、悪用されるとリモートよりコードを実行されるおそれがある。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。

さらにテンプレートエンジン「Twig」のデフォルトフィルタにおける「CVE-2023-34448」「CVE-2023-34252」、拒否リストの「CVE-2023-34253」など、入力検証の不備に起因する「SSTI」の脆弱性3件が存在。いずれもCVSS基本値は「7.2」、重要度は2番目に高い「高(High)」となっている。

開発グループでは、同脆弱性を修正した「同1.7.42」を現地時間6月14日にリリース。利用者へアップデートを呼びかけている。

(Security NEXT - 2023/06/19 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

悪用脆弱性リストにMS月例パッチで報告された2件を追加 - 米当局
みそ通販サイトの侵害、ログイン用PWも流出した可能性
ドメイン名やDNSを学べる漫画冊子を教育機関に無償配布 - JPRS
メルマガ配信委託先に不正アクセス、スパム配信される - 全国公立文化施設協会
「Junos OS」に実装される「OpenSSH」の脆弱性について説明 - Juniper
ヘッドレスCMS「Cockpit」に任意のファイルをアップロードできる脆弱性
Fortinet、アドバイザリ18件を公開 - 複数製品の脆弱性に対応
SAP、5月の定例パッチを公開 - 重要度高い脆弱性などを修正
内閣府のNPO法人ポータルに個人情報を誤掲載 - 相模原市
サッカー用品通販サイトに不正アクセス - 不正注文後に侵害

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.