JVN#73169744
複数の PHP工房製品における複数の脆弱性

PHP工房が提供する複数の製品には、複数の脆弱性が存在します。

CVE-2020-5615

• 【Calendar01】（3デバイス対応）PHP営業日・スケジュールカレンダーフリー（無料）版 ver1.0.0
• 【Calendar02】PHP営業日・スケジュールカレンダー(テキスト入力付) フリー・無料版 ver1.0.0

• 【Calendar01】（3デバイス対応）PHP営業日・スケジュールカレンダーフリー（無料）版 ver1.0.0
• 【Calendar02】PHP営業日・スケジュールカレンダー(テキスト入力付) フリー・無料版 ver1.0.0
• 【PKOBO-News01】PHP新着情報・お知らせ・ニュースCMSプログラム フリー（無料）版 ver1.0.3 およびそれ以前
• 【PKOBO-vote01】PHP投票・アンケートシステム（連続投票防止付き）CMS フリー（無料）版 ver1.0.1 およびそれ以前
• 【Telop01】PHPテロップ・ニュースティッカー・ヘッドラインCMS フリー（無料）版 ver1.0.0
• 【Gallery01】PC、スマホ、ガラケー3デバイス対応写真ギャラリーCMS フリー（無料）版 ver1.0.3 およびそれ以前
• 【CalendarForm01】(受付上限設定付き)予約・応募フォーム連動 営業日カレンダー フリー（無料）版 ver1.0.3 およびそれ以前
• 【Link01】PHPリンク集ページCMS フリー（無料）版 ver1.0.0

PHP工房が提供する複数の製品には、次の複数の脆弱性が存在します。

• クロスサイトリクエストフォージェリ (CWE-352) - CVE-2020-5615

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• 認証不備 (CWE-287) - CVE-2020-5616

  CVSS v3	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N	基本値: 4.8
  CVSS v2	AV:N/AC:H/Au:N/C:P/I:P/A:N	基本値: 4.0

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる - CVE-2020-5615
• 特定の条件下において、遠隔の第三者に管理者権限で当該製品にログインされる - CVE-2020-5616

アップデートする - CVE-2020-5615
開発者が提供する情報をもとに、最新版にアップデートしてください。

対象ファイルへコードの追加を行う - CVE-2020-5616
開発者が提供する情報をもとに、対象ファイルへコードを追加してください。