プラットフォーム
php
コンポーネント
snews-cms
修正版
1.7.1
Snews CMS 1.7には、クロスサイトリクエストフォージェリ(XSRF)の脆弱性が存在します。この脆弱性は、攻撃者が認証済みの管理者を欺き、管理者権限を不正に変更することを可能にします。影響を受けるバージョンは1.7–1.7です。最新バージョンへのアップデートにより、この脆弱性は修正されています。
このXSRF脆弱性を悪用されると、攻撃者は認証済みの管理者アカウントを乗っ取り、Snews CMSの管理権限を完全に掌握する可能性があります。これにより、ウェブサイトのコンテンツを改ざんしたり、設定を変更したり、機密情報を盗み出したりすることが可能になります。攻撃者は、悪意のあるHTMLフォームを介して、管理者のブラウザに不正なリクエストを送信し、管理者権限を乗っ取ります。この脆弱性は、ウェブサイトのセキュリティを著しく損なう可能性があります。
この脆弱性は、2026年4月4日に公開されました。現時点では、公開されているPoCは確認されていませんが、XSRF攻撃は比較的容易に実行可能であり、悪用されるリスクがあります。CISA KEVリストには登録されていません。この脆弱性は、Snews CMSを運用しているすべての組織にとって、潜在的な脅威となります。
Snews CMS installations running versions 1.7 through 1.7 are at direct risk. Specifically, organizations that rely on Snews CMS for content management and have administrators who frequently use the CMS interface are particularly vulnerable. Shared hosting environments where multiple users share the same CMS instance are also at increased risk, as an attacker could potentially compromise the entire hosting account.
• php / web:
curl -I 'http://your-snews-cms/changeup.php?username=attacker&password=attacker'• php / web: Examine access logs for suspicious POST requests to /changeup.php with unexpected usernames and passwords.
• php / web: Review Snews CMS configuration files for any insecure settings related to session management or authentication.
• generic web: Monitor for unusual HTTP referer headers in requests to sensitive endpoints.
disclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、Snews CMSを最新バージョンにアップデートすることを強く推奨します。アップデートが困難な場合は、入力検証を強化し、CSRFトークンを実装するなど、追加のセキュリティ対策を講じる必要があります。また、ウェブアプリケーションファイアウォール(WAF)を使用して、XSRF攻撃を検出し、ブロックすることも有効です。Snews CMSのセキュリティ設定を見直し、不要な機能を無効化することも重要です。
Snews CMS を修正されたバージョンにアップデートしてください。開発者がこの CSRF 脆弱性を修正する新しいバージョンをリリースしているか確認してください。入力検証と出力エンコードなどの追加のセキュリティ対策を実装して、CSRF 攻撃のリスクを軽減してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2016-20051は、Snews CMS 1.7に存在するクロスサイトリクエストフォージェリ(XSRF)の脆弱性です。攻撃者は、この脆弱性を悪用して、認証済みの管理者の権限を不正に取得する可能性があります。
はい、Snews CMSのバージョン1.7–1.7がこの脆弱性の影響を受けます。最新バージョンにアップデートすることで、この脆弱性を修正できます。
Snews CMSを最新バージョンにアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、入力検証の強化やCSRFトークンの実装などの対策を講じる必要があります。
現時点では、公開されているPoCは確認されていませんが、XSRF攻撃は比較的容易に実行可能であり、悪用されるリスクがあります。
Snews CMSの公式アドバイザリは、Snews CMSのウェブサイトで確認できます。