HOME情報セキュリティ「bingo!CMS」における認証回避の脆弱性について(JVN#74592196)

本文を印刷する

情報セキュリティ

「bingo!CMS」における認証回避の脆弱性について(JVN#74592196)

最終更新日:2022年10月11日

※最新情報は、JVN iPedia(JVN#74592196)をご覧ください。

概要

シフトテック株式会社が提供する「bingo!CMS」は、コンテンツ管理システムです。

「bingo!CMS」には、CMS 管理機能の一部に対しログイン認証を回避して不正なコードを含むファイルをアップロードすることができる認証回避の脆弱性が存在します。

当該製品の管理機能の一部に対し、特定の URL でアクセスすることにより不正なコードを含むファイルをアップロードされる可能性があります。

開発者によれば、本脆弱性を悪用した攻撃が確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。

本脆弱性の深刻度

本脆弱性の深刻度 □ 注意 □ 警告 ■ 重要 □ 緊急
本脆弱性のCVSS v3基本値 7.5
本脆弱性の深刻度 □ I(注意) ■ II(警告) □ III(危険)
本脆弱性のCVSS v2基本値 5.0

対象

次の製品が対象です。

  • bingo!CMS バージョン 1.7.4.1 およびそれ以前

対策

アップデートする

    開発者が提供する情報をもとに、最新版へアップデートしてください。
    本脆弱性はバージョン 1.7.4.2 で修正されています。
詳しくは、開発者が提供する下記サイトの情報をご確認ください。


参考情報

  • bingo!CMSの認証回避の脆弱性(CVE-2022-42458)に関する注意喚起
    https://www.jpcert.or.jp/at/2022/at220026.html別ウィンドウで開く

  • 【重要・要対応】bingo!CMS 認証回避脆弱性に関する対応をお願いいたします
    https://www.bingo-cms.jp/information/20221011.html別ウィンドウで開く

  • 「情報セキュリティ早期警戒パートナーシップ」について
    本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、IPA が製品開発者自身から届出を受け、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が製品開発者と調整を行ない公表したものです。詳細は、下記の URL を参照ください。
    https://www.ipa.go.jp/security/vuln/report/index.html

本件に関するお問い合わせ先

IPA セキュリティセンター

E-mail:

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。

更新履歴

2022年10月11日 掲載