PowerCMS における複数の脆弱性 (JVN#32646742)
PowerCMS についてクロスサイトスクリプティングの脆弱性とオープンリダイレクト脆弱性が存在することがわかりました。当リリースの内容に従って対策をお願いいたします。
2023年12月26日に公開されました JVN#32646742 は本脆弱性の件です。新たに脆弱性が見つかったわけではございませんので誤解されませんようお願いいたします。
PowerCMS 6 系については11月28日リリースいたしました PowerCMS 6.4 で対策済みとなりますが、今後も幅広く PowerCMS をご利用頂くため PowerCMS 4系 5系についても12月25日にリリースいたしました PowerCMS 5.25 / 4.55 で対策を行いました。 すべての PowerCMS で対策が完了いたしましたこのタイミングでアナウンスいたしました。
2023年12月26日 追記
脆弱性の内容
- 管理画面におけるクロスサイトスクリプティング脆弱性
- 会員限定サイトのプロフィール編集画面のオープンリダイレクト脆弱性
影響を受ける環境
- PowerCMS 6.31 / 5.24 / 4.54 を含む以前のバージョン
※ サポートを終了しておりますバージョンについては記載しておりません。
※ PowerCMS 6.4 は対策済みです。PowerCMS 6.4 以降の環境は影響ありません
対策
PowerCMS 6.31 / 5.24 / 4.54 をご利用の場合は下記の対策済みバージョンへアップグレードしてください。
- PowerCMS 6.4
- PowerCMS 5.25
- PowerCMS 4.55
その他のバージョンをご利用の場合はサポートへ問い合わせください。
サポートサイト
サポートサイトへ初めてアクセスされる方は、お手数ですがまずサインアップを行ってください(ライセンスコードが必要です)。