JVN#68640473: bingo!CMS core および bingo!CMSにおけるクロスサイトリクエストフォージェリの脆弱性

公開日 2009年8月27日

bingo!CMS core、bingo!CMS(商用版)ユーザの皆様

bingo!CMS core および bingo!CMSのプログラムにおいて、クロスサイトリクエストフォージェリによる脆弱性が確認されました。
対策を施した新バージョンをリリースいたします。

概要

この脆弱性を悪用された場合、当該製品のウェブ管理画面にログインした状態で、悪意のあるページを読み込んだ場合、遠隔の第三者によって、設定を変更されたり、データを削除されてしまう危険性があります。
対策を施した新バージョンをリリースすると共に、この問題を受けるバージョンを以下に示しますので、該当バージョンをご利用中のお客様は修正プログラムを適用してください。

該当製品の確認方法

影響を受ける製品は以下の製品です。

・製品名称
bingo!CMS core、およびbingo!CMS

・該当バージョン
bingo!CMS core バージョン1.2 およびそれ以前
bingo!CMS(商用版) バージョン1.2 およびそれ以前

利用しているバージョン番号の確認方法は以下の通りです。
1. ウェブ管理画面にログインします。
2. 表示されたウィンドウの右下「Ver ○○○」の部分がバージョン番号です。
バージョン番号の確認方法
 

対策方法

該当バージョンの製品を利用されているお客様は、速やかにパッチファイルを適用ください。
パッチファイルの入手場所は以下となります。
適用方法に関しましては同梱のreadme.txtを参照してください。

・対象製品名称
【bingo!CMS core(オープンソース版)】
bingo!CMS core ver 1.00 => ver 1.0a (zip) [106KB]
bingo!CMS core ver 1.1? => ver 1.1b (zip) [115KB]
bingo!CMS core ver 1.1a => ver 1.1b (zip) [115KB]
bingo!CMS core ver 1.2 => ver 1.2a (zip) [125KB]

【bingo!CMS(商用版)】
ご購入申込み時にご連絡いただいたメールアドレス宛にご案内のメールを送付させていただきます。
メールに記載されております案内に従いダウンロードしてください。

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、下記の方がIPAに報告し、JPCERT/CCがbingo!CMS開発チームとの調整を行いました。
報告者:大野 雅子 氏
この場を借りて深く御礼申し上げます。

更新履歴

2009.08.27 この脆弱性情報ページを公開しました。

連絡先

脆弱性連絡窓口
電話 :0465-31-1023 (平日10:00〜17:00)
メール:お問い合わせフォームよりご連絡ください。