「PowerCMS」に6件の脆弱性 - 修正版が公開
アルファサードが提供するコンテンツマネジメントシステム(CMS)の「PowerCMS」に複数の脆弱性が確認された。アップデートが呼びかけられている。
「PowerCMS 6.7」「同5.3」「同4.6」および以前のバージョンにパストラバーサルの脆弱性「CVE-2025-41396」「CVE-2025-46359」をはじめ、あわせて6件の脆弱性が明らかとなったもの。
クロスサイトスクリプティング(XSS)の脆弱性「CVE-2025-36563」「CVE-2025-41391」や、CSVファイルにおける無害化の不備「CVE-2025-54752」、ファイル検証不備「CVE-2025-54757」なども明らかとなっている。
なかでも、「CVE-2025-46359」については、今回判明したなかにおいて共通脆弱性評価システムのベーススコアがもっとも高く、「CVSSv4.0」において「8.6」、「CVSSv3.1」では「7.2」と評価されている。改ざんされたバックアップファイルが管理者によってリストアされた際、任意のコードを実行されるおそれがある。
脆弱性の判明を受けて、同社は2025年7月31日に脆弱性を解消した「PowerCMS 6.71」「同5.31」「同4.61」を公開。アップデートを強く推奨している。
(Security NEXT - 2025/08/01 )
ツイート
PR
関連記事
SAP、5月の定例アップデート15件を公開 - 2件は「クリティカル」
ウェブサーバ「nginx」に複数脆弱性 - 「クリティカル」も
Adobe、「Adobe Commerce」など10製品に向けてアップデート
「FortiOS」にFortinet製ネットワーク機器から悪用可能な脆弱性
ビデオ会議ツール「Zoom」のWindows版などに脆弱性
キヤノン製プリンタ、複合機に情報取得の脆弱性 - 162モデルに影響
Apple、「macOS Tahoe 26.5」を公開 - 脆弱性79件を修正
会議ツール「Zoom」Windows向けクライアントに深刻な脆弱性
小学校教員がPCの校務画面をスマホ撮影、SNSに投稿 - 仙台市
患者の顔写真含む記憶媒体が所在不明 - 大阪の病院
