「bingo!CMS」における認証回避の脆弱性について(JVN#74592196)
ニュース
【概要】
シフトテック株式会社が提供する「bingo!CMS」は、コンテンツ管理システムです。
「bingo!CMS」には、CMS 管理機能の一部に対しログイン認証を回避して不正なコードを含むファイルをアップロードすることができる認証回避の脆弱性が存在します。
当該製品の管理機能の一部に対し、特定の URL でアクセスすることにより不正なコードを含むファイルをアップロードされる可能性があります。
開発者によれば、本脆弱性を悪用した攻撃が確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。
「bingo!CMS」には、CMS 管理機能の一部に対しログイン認証を回避して不正なコードを含むファイルをアップロードすることができる認証回避の脆弱性が存在します。
当該製品の管理機能の一部に対し、特定の URL でアクセスすることにより不正なコードを含むファイルをアップロードされる可能性があります。
開発者によれば、本脆弱性を悪用した攻撃が確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。
【本脆弱性の深刻度】
【対象】
次の製品が対象です。
- bingo!CMS バージョン 1.7.4.1 およびそれ以前
【対策】
アップデートする
- 開発者が提供する情報をもとに、最新版へアップデートしてください。
- 本脆弱性はバージョン 1.7.4.2 で修正されています。
詳しくは、開発者が提供する下記サイトの情報をご確認ください。
- 【重要・要対応】bingo!CMS 認証回避脆弱性に関する対応をお願いいたします
https://www.bingo-cms.jp/information/20221011.html
【参考情報】
- bingo!CMSの認証回避の脆弱性(CVE-2022-42458)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220026.html
- 【重要・要対応】bingo!CMS 認証回避脆弱性に関する対応をお願いいたします
https://www.bingo-cms.jp/information/20221011.html
- 「情報セキュリティ早期警戒パートナーシップ」について
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、IPA が製品開発者自身から届出を受け、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が製品開発者と調整を行ない公表したものです。詳細は、下記の URL を参照ください。
https://www.ipa.go.jp/security/vuln/report/index.html
出典:独立行政法人情報処理推進機構(IPA)