いつも株式会社ヒニアラタのホームページをご覧頂き、誠にありがとうございます。
弊社のプラグインをご利用のお客様へ重要なお知らせ
この度、下記の弊社製品にXSS(クロスサイト・スクリプティング)およびCSRF(クロスサイトリクエストフォージェリ)に関する脆弱性が発見されました。 すでに対応バージョンの配布を開始おり、新バージョンへバージョンアップして頂くことで問題に対処できます。なお、今回の問題は攻撃者が管理画面へログインした状態でのみ発生します。プラグイン使用サイトが、第三者に無条件に攻撃をうけるものではありません。
対象製品をご利用のお客様はには、大変ご迷惑をおかけいたしますが、 何卒、早めのバージョンアップをお願い致します。
対象製品(baserCMS用プラグイン)
- 求人情報プラグイン(ver.0.9.2以前)
→[対応バージョンはこちら(ver.0.9.3)] - ケースブックプラグイン(ver.0.9.3以前)
→[対応バージョンはこちら(ver.0.9.4)] - スケジュールプラグイン(ver.0.9.5以前)
→[対応バージョンはこちら(ver.0.9.6)] - メニューブックプラグイン(ver.0.9.2以前)
→[対応バージョンはこちら(ver.0.9.3)] - スタッフ紹介プラグイン(ver.0.9.2以前)
→[対応バージョンはこちら(ver.0.9.3.1)] - お客様の声プラグイン(ver.0.9.6以前)
→[対応バージョンはこちら(ver.0.9.7)]
問題の概要と対策
発生する問題
管理画面において、該当プラグインの一部入力欄に、任意のスクリプトを埋め込む事ができ、 管理画面上にて当該スクリプトが実行されてしまう(XSS脆弱性の存在)。および、該当プラグインの管理画面において、データ入力フォームを使用する際、データ送信元の真正を担保するためのトークンが有効になっておらず、任意のリクエストを送信できる可能性がある(CSRF脆弱性の存在)。
この問題に対する対策
上記の対象製品一覧から、問題に対応する「対応バージョン」のプラグインをダウンロードし、 baserCMS管理画面上からアップデートを行う(プラグインのバージョンアップ方法については公式Wikiをご覧ください)。
謝辞
終わりになりましたが、発見者の方、ご協力いただいたIPA、JPCERT/CCの方々に、深く感謝申し上げます。
タグ: お知らせ
よくある質問
ここではお客様から寄せられる質問と回答をまとめています。下記の一覧からご覧になりたい質問内容をクリックしてください。
制作について
Q:どのくらいの制作期間が必要ですか?
Q:法人ではなく個人事業主なのですが、制作を依頼できますか?
Q:文章の校正はしてもらえますか?
Q:知り合いのデザイナーにデザインをお願いしたいのですが・・・。
Q:デザインだけをお願いしたいのですが・・・。
Q:すでにあるホームページを修正したいのですが・・・。
Q:スマートフォン対応のホームページを作成してもらえますか?
Q:現在ホームページを持っていますが、リニューアルをお願いできますか?
Q:ホームページと一緒にブログも作りたいのですが、可能ですか?
Q:ホームページに掲載する内容は、一緒に考えてもらえますか?
Q:制作を依頼した場合、何を用意すれば良いですか?
Q:遠方からホームページ制作の依頼はしてもらえますか?
Q:WordPressを使ったサイト構築は可能ですか?
Q:デザインのみ、コーディングのみなど、制作の一部の依頼は可能ですか?
Q:制作会社、広告代理店からの依頼は可能ですか?
Q:写真撮影も行ってもらえますか?
Q:動画を使ったホームページを作成したいのですがお願いできますか?
Q:ホームページの更新を簡単にできる方法はありますか?
Q:依頼してから完成まではどのような流れですか?