JVN#20837860
baserCMSにおける複数の脆弱性
baserCMSユーザー会が提供するbaserCMSには複数の脆弱性が存在します。
- baserCMS 5.2.3より前のバージョン
baserCMSユーザー会が提供するbaserCMSには、次の複数の脆弱性が存在します。
- クロスサイトスクリプティング(CWE-79)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1
- CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4
- CVE-2026-30879
- OSコマンドインジェクション(CWE-78)
- CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.2
- CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 8.1
- CVE-2026-30880
- SQLインジェクション(CWE-89)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N 基本値 6.9
- CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値 7.3
- CVE-2026-27697
- クロスサイトスクリプティング(CWE-79)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1
- CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N 基本値 4.6
- CVE-2026-32734
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該製品を使用しているWebサイトにアクセスしたユーザーのWebブラウザ上で、任意のスクリプトが実行される(CVE-2026-30879、CVE-2026-32734)
- 攻撃者により任意のOSコマンドが実行される(CVE-2026-30880)
- 攻撃者により任意のSQLクエリが実行される(CVE-2026-27697)
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
CVE-2026-30879
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:三井物産セキュアディレクション株式会社 田中 凱 氏
この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:VCSLab - Viettel Cyber Security quanlna2 (Le Nguyen Anh Quan) 氏、namdi (Do Ich Nam) 氏、minhnn42 (Nguyen Ngoc Minh) 氏
CVE-2026-30880
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:任興典 氏
CVE-2026-27697
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:フューチャーセキュアウェイブ株式会社 松本 守礼 氏
CVE-2026-32734
この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:VCSLab - Viettel Cyber Security quanlna2 (Le Nguyen Anh Quan) 氏、namdi (Do Ich Nam) 氏、minhnn42 (Nguyen Ngoc Minh) 氏
