平素よりお世話になっております。
https://www.bingo-cms.jp/information/20221011.html
この度、シフトテックが開発・販売する「bingo!CMS」におきまして、認証回避の脆弱性(CWE-288)の存在が確認されました。
bingo!CMSをご利用のお客様におかれましては、お手数をおかけいたしますが、下記をご確認の上、至急ご対応くださいますようお願い申し上げます。
確認された脆弱性
「ログイン認証を必要とする管理機能の一部に対し、特定のURLでアクセスすることにより、不正なコードを含むファイルがアップロードされる認証回避の脆弱性」(JVN識別番号 #74592196)
攻撃者がアップロードされたファイルに対し特定のリクエストを送信することで、任意スクリプトの実行や不正なファイルの作成、ファイルが改竄される恐れがあり、すでに脆弱性を悪用した攻撃が確認されています。
影響を受けるバージョン
bingo!CMS(インストール版)v1.7.4.1 およびそれ以前のすべてのバージョン
なお、bingo!CMS(クラウド版)は脆弱性対策済み、bingo!CMSエンタープライズ版とbingo!Expressは本件対象外のためお客様による対応は不要です。
対策の実施が必要なお客様
bingo!CMS(インストール版)を購入されたbingo!CMSパートナー
→ このお知らせを最後までご覧いただき、貴社がbingo!CMSで構築されたサイトへ対策を実施してください。
bingo!CMS(インストール版)を購入された制作会社
→ このお知らせを最後までご覧いただき、貴社がbingo!CMSで構築されたサイトへ対策を実施してください。
弊社にてサイト制作、システム開発をさせていただいたお客様
→ 弊社の担当者より個別にご連絡いたします。
bingo!CMSパートナーや制作会社を通してbingo!CMSを購入されたお客様
→ bingo!CMSパートナーまたは制作会社へ直接対策をご依頼ください。
対策のお願い
bingo!CMS(インストール版)を最新版のv1.7.4.2へバージョンアップしてください。(PHP5.6以上のサーバー環境が必要です)
ご利用のbingo!CMS(インストール版)のバージョンにより対応方法が異なります。下記の表をご確認の上、製品ごとに実施をお願いいたします。
bingo!CMSのバージョンはログイン画面右下に記載がございます。バージョンの記載がない場合は、bingo!CMSv1.4以下となります。
一次対策済みのサイトも、本バージョンアップにて検証済みの正しいプログラムへ置き換えられます。ぜひこの機会に実施ください。
