CRITICALCVE-2026-21861CVSS 9.1

baserCMS: リモートコード実行 (RCE) につながる OS コマンドインジェクション (OS Command Injection)

Q: CVE-2026-21861 とは何ですか？（baserproject/basercms の Remote Code Execution (RCE)）

RCE は Remote Code Execution の略です。これは、攻撃者がリモートシステム上でコマンドを実行できることを意味します。

Q: baserproject/basercms の CVE-2026-21861 による影響を受けていますか？

はい、この脆弱性を軽減するために、バージョン 5.2.3 以降に更新することを強くお勧めします。

Q: baserproject/basercms の CVE-2026-21861 を修正するにはどうすればよいですか？

一時的な措置として、管理パネルへのアクセスを制限し、システムログを監視してください。

Q: CVE-2026-21861 は積極的に悪用されていますか？

現在、この脆弱性を検出するための特定のツールはありませんが、システムログを監視することで、疑わしいアクティビティを特定するのに役立ちます。

Q: CVE-2026-21861 に関する baserproject/basercms の公式アドバイザリはどこで確認できますか？

WAF (Web Application Firewall) は、Web アプリケーションへの悪意のあるトラフィックをフィルタリングするツールであり、このような攻撃を防ぐのに役立ちます。

プラットフォーム

php

コンポーネント

baserproject/basercms

修正版

5.2.4

5.2.3

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月

NVDで見る

保存

baserCMSは、ウェブサイト開発フレームワークです。バージョン5.2.3より前のbaserCMSには、コアアップデート機能にOSコマンドインジェクションの脆弱性が存在します。認証された管理者は、ユーザー制御の入力を適切に処理せずにexec()に直接渡すため、サーバー上で任意のOSコマンドを実行できます。この問題はバージョン5.2.3で修正されました。

影響と攻撃シナリオ

baserCMS の CVE-2026-21861 は、リモートコード実行 (RCE) の重大な脆弱性を示しています。認証された CMS 管理者は、この脆弱性を悪用して、サーバー上の任意のオペレーティングシステムコマンドを実行できます。これは、管理パネルから送信された特定のパラメータが、適切な検証またはエスケープ処理なしに exec() 関数に渡されるためです。問題の重大度は CVSS スケールで 9.1 と評価されており、システム機密性、完全性、可用性に対する潜在的に壊滅的な影響を示しています。悪用が成功すると、サーバーの完全な乗っ取り、データ損失、サービスの中断につながる可能性があります。baserCMS システムを保護するために、この脆弱性を直ちに修正することが不可欠です。

悪用の状況

この脆弱性は、baserCMS 管理パネルを通じて悪用されます。管理者権限を持つ攻撃者は、特定のコア更新機能の入力パラメータを操作して、オペレーティングシステムのコマンドを挿入できます。これらのコマンドは、baserCMS プロセスが実行されるユーザーの権限で実行され、攻撃者がサーバーへのルートアクセスを取得する可能性があります。入力検証の欠如がこの脆弱性の主な原因であり、攻撃者が標準のセキュリティ対策を回避できるようになります。影響は大きく、任意のコードの実行により、システム全体が完全に侵害される可能性があります。

リスク対象者翻訳中…

Organizations using basercms for content management, particularly those with legacy configurations or limited security expertise, are at significant risk. Shared hosting environments where multiple users share the same server are also vulnerable, as a compromised basercms installation could potentially impact other websites hosted on the same server. Administrators who have not implemented strong password policies or multi-factor authentication are also at increased risk.

検出手順翻訳中…

• php / server:

find /var/www/basercms -type f -name '*.php' -exec grep -i 'exec(' {} + | tee basercms_exec_usage.log

• php / server:

journalctl -u php-fpm -f | grep -i "exec"

• generic web:

curl -I http://your-basercms-site.com/admin/core_update.php | grep -i 'Server'

攻撃タイムライン

2026-03-31Disclosure
disclosure
2026-03-31Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.37% (59% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントbaserproject/basercms

ベンダーosv

影響範囲修正版

< 5.2.3 – < 5.2.35.2.4

—5.2.3

弱点分類 (CWE)

CWE-78

タイムライン

予約済み2026-01-05
公開日2026-03-31
EPSS 更新日2026-04-07

公開後-5日でパッチ適用

緩和策と回避策

この脆弱性に対する公式の修正は、baserCMS をバージョン 5.2.3 以降に更新することです。この更新には、exec() 関数にパラメータを渡す前に、パラメータを適切に検証およびエスケープするための必要な修正が含まれています。その間、一時的な措置として、管理パネルへのアクセスを承認されたユーザーに制限し、システムログで疑わしいアクティビティを監視することを推奨します。Web Application Firewall (WAF) を実装して、悪意のあるトラフィックをフィルタリングすることも検討してください。悪用のリスクを最小限に抑えるために、できるだけ早く更新を適用することが重要です。更新を適用する前に、システム全体のバックアップを作成することを推奨します。

修正方法

baserCMS をバージョン 5.2.3 以降にアップデートしてください。このバージョンには、OS コマンドインジェクション (OS Command Injection) の脆弱性の修正が含まれています。アップデートは、baserCMS の管理パネルから行うか、公式サイトから最新バージョンをダウンロードすることで実行できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-21861 とは何ですか？（baserproject/basercms の Remote Code Execution (RCE)）