「Concrete CMS」に新板 - 複数脆弱性を修正
コンテンツマネジメントシステム(CMS)である「Concrete CMS」の開発チームは、現地時間11月8日に「同9.2.2」「同8.5.13」をリリースし、複数の脆弱性を修正した。
バージョンによって修正された脆弱性は異なるが、両バージョン共通の脆弱性として、5件の脆弱性に対処している。
アクセス権限の設定不備「CVE-2023-48648」を修正。さらにクロスサイトスクリプティング(XSS)の脆弱性「CVE-2023-48649」「CVE-2023-44761」「CVE-2023-44765」を解消した。「CVE-2023-29197」の影響を受けないよう「Guzzle」のアップデートを実施している。
くわえて「同8.5.13」では、XSSの脆弱性「CVE-2023-28477」「CVE-2023-28475」「CVE-2023-28819」や、cookie処理の不備「CVE-2023-28472」、認証のバイパス「CVE-2023-28473」などに対処している。
共通脆弱性評価システム「CVSSv3」のベーススコアを見ると、今回判明したなかでは「CVE-2023-48648」が「6.6」でもっとも高く、重要度は「中(Medium)」とされている。
ただし、同脆弱性に関しては、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、「攻撃の複雑さ」「必要とされる権限」の評価が異なり、CVSS基本値は「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。
(Security NEXT - 2023/11/28 )
ツイート
PR
関連記事
「Tenable Identity Exposure」に脆弱性 - 2月の更新で修正済み
個人情報を6機関に誤送信、転送され規模が20倍超に - 岐阜県
報道記者が個人情報含む資料を一時紛失 - ABCテレビ
約40万件の個人情報が流出した可能性 - ニデック子会社
CrowdStrike導入したWindows端末の97%以上がオンラインに
Acronisのデータバックアップ用インフラ製品に深刻な脆弱性 - すでに悪用も
CrowdStrikeによる障害、約850万台に影響 - あらたな復旧方法も準備中
組込システムの検証テストツール「NI VeriStand」に複数脆弱性
SonicWall、「Blast-RADIUS」の緩和策でアドバイザリ
「Spring Cloud Data Flow」に深刻な脆弱性 - アップデートが公開
