「a-blog cms」に「SSRF」など複数脆弱性 - アップデートで修正
アップルップルが提供するCMS「a-blog cms」に複数の脆弱性が確認された。アップデートが呼びかけられている。
サーバサイドリクエストフォージェリ(SSRF)の脆弱性「CVE-2025-36560」をはじめ、クロスサイトスクリプティングの脆弱性「CVE-2025-32999」、パストラバーサルの脆弱性「CVE-2025-27566」、ログ出力の不適切な無害化「CVE-2025-41429」が明らかとなったもの。
「CVE-2025-36560」については、細工したリクエストを処理した場合に、機微な情報にアクセスされたり、「CVE-2025-41429」と組み合わせることで正規ユーザーのセッションを乗っ取ることが可能になるという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「CVE-2025-36560」が「8.6」、「CVSSv4.0」のベーススコアは「9.2」と評価されている。他脆弱性については、「CVSSv3.1」において「5.4」以下、「CVSSv4.0」では「5.1」以下としている。
バージョンによって影響を受ける脆弱性は異なるが、アップルップルでは、これら脆弱性を解消した「同3.1.44」「同3.0.48」「同2.11.76」「同2.10.64」「同2.9.52」「同2.8.86」を2025年4月30日にリリースした。あわせて一部脆弱性に関しては緩和策についてもアナウンスしている。
(Security NEXT - 2025/05/21 )
ツイート
PR
関連記事
悪用確認された「WinRAR」「Windows」の脆弱性に注意喚起 - 米当局
エンドポイント管理製品「Ivanti EPM」に複数脆弱性 - 「クリティカル」も
「Adobe Acrobat/Reader」に複数脆弱性 - アップデートを公開
「Adobe ColdFusion」に緊急性高い脆弱性 - 早急に対応を
「Firefox 146」がリリース - 権限昇格やUAFなど脆弱性13件を解消
複数Fortinet製品に認証回避の深刻な脆弱性 - 影響確認と対策を
MS、2025年最後の月例パッチ - ゼロデイ含む脆弱性56件に対処
「Array AG」狙う攻撃、関連する複数IPアドレスを公開 - IPA
Ruby向けSAML認証ライブラリに深刻な脆弱性 - 最新版へ更新を
「Array AG」にCVE未採番の脆弱性 - 8月に国内で悪用被害
