「a-blog cms」に脆弱性、すでに攻撃も - 侵害状況の確認を

アップルップルが提供するコンテンツマネジメントシステム「a-blog cms」に脆弱性が明らかとなった。すでに悪用が確認されているという。アップデートや侵害状況の確認などを行うよう呼びかけられている。

信頼できないデータをデシリアライズする脆弱性「CVE-2025-31103」が明らかとなったもの。細工されたリクエストによって、任意のファイルをサーバ上に設置されるおそれがある。

共通脆弱性評価システム「CVSS v3.0」において、本脆弱性のベーススコアは「7.5」と評価されており、機密性や可用性には影響がないとされている。

ただし、設置されたファイルに含まれるスクリプトを実行される可能性があり、状況によってはより大きな影響を及ぼすおそれがある点に注意が必要。すでに脆弱性を悪用した攻撃も確認されているという。

同社は2025年3月22日、これら脆弱性を修正した「同3.1.37」「同3.0.41」「同2.11.70」「同2.10.58」「同2.9.46」「同2.8.80」をリリースした。

（Security NEXT - 2025/03/28 ） ツイート

PR

関連記事

「MS Edge」にアップデート - 「Chromium」のゼロデイ脆弱性に対処
「AEM」に100件超の脆弱性 - 「クリティカル」も複数
オンライン会議ソフト「Zoom Rooms」に脆弱性 - 最新版で修正済み
地理情報サーバ「GeoServer」の脆弱性悪用に注意喚起 - 米当局
「pgAdmin4」リストア処理にRCE脆弱性 - 2カ月連続で判明
地理空間データを活用する「GeoServer」の脆弱性攻撃に注意
Gitサーバ「Gogs」にゼロデイ脆弱性 - 広範囲の公開サーバに侵害痕跡
「React」脆弱性を狙う攻撃が急増、国内SOCで多数観測 - ラック
「Chrome」にゼロデイ脆弱性、詳細は調整中 - アップデートで修正
ワークフロー実行ツール「n8n」に脆弱性 - アップデートで修正