「Concrete CMS」に新板 - 複数脆弱性を修正
コンテンツマネジメントシステム(CMS)である「Concrete CMS」の開発チームは、現地時間11月8日に「同9.2.2」「同8.5.13」をリリースし、複数の脆弱性を修正した。
バージョンによって修正された脆弱性は異なるが、両バージョン共通の脆弱性として、5件の脆弱性に対処している。
アクセス権限の設定不備「CVE-2023-48648」を修正。さらにクロスサイトスクリプティング(XSS)の脆弱性「CVE-2023-48649」「CVE-2023-44761」「CVE-2023-44765」を解消した。「CVE-2023-29197」の影響を受けないよう「Guzzle」のアップデートを実施している。
くわえて「同8.5.13」では、XSSの脆弱性「CVE-2023-28477」「CVE-2023-28475」「CVE-2023-28819」や、cookie処理の不備「CVE-2023-28472」、認証のバイパス「CVE-2023-28473」などに対処している。
共通脆弱性評価システム「CVSSv3」のベーススコアを見ると、今回判明したなかでは「CVE-2023-48648」が「6.6」でもっとも高く、重要度は「中(Medium)」とされている。
ただし、同脆弱性に関しては、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、「攻撃の複雑さ」「必要とされる権限」の評価が異なり、CVSS基本値は「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。
(Security NEXT - 2023/11/28 )
ツイート
PR
関連記事
メール誤送信でファンクラブ会員のメアド流出 - クリアソン新宿
新「NOTICE」がスタート、脆弱性ある機器も注意喚起対象に
サイトで閲覧障害、影響や詳細を調査 - メディキット
緊急連絡用職員名簿をポーチごと紛失、翌日回収 - 江戸川区
指導要録の紛失判明、過去に緊急点検するも見落とし - 杉並区
複数フォームで設定ミス、入力情報が閲覧できる状態に - Acompany
スポーツ用品販売のヒマラヤ公式Xが乗っ取り被害 - なりすましDMに注意
UTM設置時のテストアカウントが未削除、ランサム感染の原因に
カンファレンスイベント「CODE BLUE 2024」、講演者募集を開始
「Ruby」に3件の脆弱性、アップデートで修正を実施
