「bingo!CMS」における認証回避の脆弱性について（JVN#74592196）

 ※最新情報は、JVN iPedia(JVN#74592196)をご覧ください。  

概要

シフトテック株式会社が提供する「bingo!CMS」は、コンテンツ管理システムです。

「bingo!CMS」には、CMS 管理機能の一部に対しログイン認証を回避して不正なコードを含むファイルをアップロードすることができる認証回避の脆弱性が存在します。

当該製品の管理機能の一部に対し、特定の URL でアクセスすることにより不正なコードを含むファイルをアップロードされる可能性があります。

開発者によれば、本脆弱性を悪用した攻撃が確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。

本脆弱性の深刻度

脆弱性の深刻度は共通脆弱性評価システムCVSS v3とCVSS v2に基づいて定めている。

• CVSS v3に基づいた深刻度と基本値について
  • 脆弱性のCVSS v3深刻度
  • 脆弱性のCVSS v3基本値
• CVSS v2に基づいた深刻度と基本値について
  • 脆弱性のCVSS v2深刻度
  • 脆弱性のCVSS v2基本値

対象

次の製品が対象です。

• bingo!CMS バージョン 1.7.4.1 およびそれ以前

対策

アップデートする

• 開発者が提供する情報をもとに、最新版へアップデートしてください。
  本脆弱性はバージョン 1.7.4.2 で修正されています。

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

• 【重要・要対応】bingo!CMS 認証回避脆弱性に関する対応をお願いいたします

参考情報

• bingo!CMSの認証回避の脆弱性（CVE-2022-42458）に関する注意喚起
• 【重要・要対応】bingo!CMS 認証回避脆弱性に関する対応をお願いいたします
• 「情報セキュリティ早期警戒パートナーシップ」について
  本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、IPA が製品開発者自身から届出を受け、JPCERT/CC（一般社団法人JPCERTコーディネーションセンター）が製品開発者と調整を行ない公表したものです。詳細は、下記の URL を参照ください。
  • 脆弱性関連情報の届出受付