プラットフォーム
php
コンポーネント
basercms
修正版
5.2.4
baserCMSはウェブサイト開発フレームワークです。CVE-2026-30940は、テーマファイル管理APIにおけるパス・トラバーサルの脆弱性で、認証された管理者が任意の場所にPHPファイルを作成し、リモートコード実行(RCE)を引き起こす可能性があります。影響を受けるバージョンは5.2.3未満です。この問題はバージョン5.2.3で修正されました。
basercms の CVE-2026-30940 は、このフレームワークを使用しているウェブサイトにとって重大なリスクをもたらします。認証された管理者を通じて、テーマファイル管理 API (/baser/api/admin/bc-theme-file/theme_files/add.json) を使用して、テーマディレクトリ外の任意のファイルを書き込むことができます。これは、ファイルパスを '../' シーケンスで操作することで実現されます。この脆弱性の重大性は、リモートコード実行 (RCE) の可能性にあります。これにより、攻撃者が Web サーバーを完全に制御し、機密性の高いサイトデータを侵害する可能性があります。悪用が成功すると、重要なシステムファイルの変更、悪意のあるコードのインジェクション、サービス拒否につながる可能性があります。
この脆弱性は、テーマファイル管理 API を介して悪用されます。攻撃者は、この API にアクセスするために認証された管理者である必要があります。悪用には、API への悪意のあるリクエストを作成し、ファイルパスを '../' シーケンスで操作して、任意の場所に PHP ファイルを書き込むことが含まれます。この PHP ファイルには、Web ブラウザ経由でアクセスされると実行される悪意のあるコードが含まれている可能性があります。悪用の容易さは、必要な比較的簡単な認証とパス操作の単純さにあります。書き込まれたファイルの場所は、悪意のあるリクエストで指定されたパスによって異なります。
Organizations using baserCMS for website development, particularly those with legacy configurations or shared hosting environments, are at risk. Administrators with access to the theme file management API are the primary threat actors. Websites relying on baserCMS for critical functionality or handling sensitive user data are especially vulnerable.
• linux / server: Monitor baserCMS logs for attempts to access or modify files outside the theme directory. Use journalctl -f to monitor /path/to/baserCMS/logs/ for suspicious entries related to file creation or modification.
journalctl -f /path/to/baserCMS/logs/• generic web: Use curl to test the /baser/api/admin/bc-theme-file/theme_files/add.json endpoint with a crafted payload containing ../ sequences. Examine the response headers and body for any unexpected behavior or error messages.
curl -X POST -d 'path=../../../../etc/passwd' http://your-basercms-site/baser/api/admin/bc-theme-file/theme_files/add.jsondisclosure
エクスプロイト状況
EPSS
0.26% (49% パーセンタイル)
CISA SSVC
CVE-2026-30940 を軽減するための最も効果的な方法は、basercms をバージョン 5.2.3 以降に更新することです。このバージョンには、ファイルパスの操作を防ぎ、ディレクトリトラバーサル脆弱性を排除する修正が含まれています。その間、一時的な対策として、テーマファイル管理 API へのアクセスを承認された管理者ユーザーに制限し、サーバーログを不審なアクティビティがないか監視することをお勧めします。管理者の最小権限ポリシーを実装することも、リスクを軽減するのに役立ちます。更新後には、修正が正しく適用され、新しい問題が発生していないことを確認するために、徹底的なテストを実施する必要があります。
Actualice baserCMS a la versión 5.2.3 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal en la API de gestión de archivos de temas.
脆弱性分析と重要アラートをメールでお届けします。
basercms は、ウェブサイトの作成を簡素化する Web 開発フレームワークです。
バージョン 5.2.3 にアップデートすると、リモートコード実行を可能にする可能性のある重要な脆弱性が修正されます。
テーマファイル管理 API へのアクセスを制限し、サーバーログを監視してください。
5.2.3 より前のバージョンを使用している場合は、脆弱です。パス操作の試みをサーバーログで確認してください。
管理者の最小権限ポリシーを実装し、ソフトウェアを最新の状態に保ってください。
CVSS ベクトル