プラットフォーム
php
コンポーネント
baserproject/basercms
修正版
5.2.4
5.2.3
CVE-2026-32734は、baserCMSのタグ作成機能に存在するDOMベースのクロスサイトスクリプティング(XSS)の脆弱性です。この脆弱性を悪用されると、悪意のあるJavaScriptが実行される可能性があります。影響を受けるのはbaserCMS 5.2.2以下のバージョンです。この問題はバージョン5.2.3で修正されています。
basercmsのバージョン5.2.2以前にCVE-2026-32734の脆弱性が存在し、タグの作成を通じて悪意のあるJavaScriptコードを実行させることが可能です。これはDOMベースのクロスサイトスクリプティング(XSS)の脆弱性です。攻撃者はタグにJavaScriptコードを注入し、そのタグを含むページを閲覧するユーザーのブラウザでコードを実行させることができます。これにより、攻撃者はCookieを盗んだり、ユーザーを悪意のあるWebサイトにリダイレクトしたり、ユーザーの代わりに不正な操作を実行したりする可能性があります。この脆弱性の深刻度はCVSSスコア7.1と評価されており、中程度から高いリスクを示しています。
この脆弱性は、basercmsでタグを作成し、タグのテキストフィールドに悪意のあるJavaScriptコードを注入することで悪用されます。このタグを含むページをユーザーが閲覧すると、JavaScriptコードがユーザーのブラウザで実行されます。攻撃者はこの手法を使用して、機密性の高いユーザー情報を取得したり、不正な操作を実行したりする可能性があります。
Organizations and individuals using baserproject/basercms version 5.2.2 or earlier are at risk. This includes websites and applications built on basercms, particularly those with user-generated content or public-facing tag creation features. Shared hosting environments utilizing basercms are also at increased risk due to potential cross-tenant contamination.
• php: Examine basercms tag creation forms for suspicious input. Use grep to search for potentially malicious JavaScript code within the tag content.
grep -r 'alert\(' /var/www/basercms/application/views• generic web: Monitor access logs for requests to tag creation endpoints with unusual parameters. Check response headers for signs of JavaScript injection.
curl -I https://example.com/basercms/tags/create | grep Content-Type• generic web: Use a web vulnerability scanner to identify XSS vulnerabilities in the tag creation functionality.
disclosure
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
この脆弱性を軽減するための推奨される対策は、basercmsをバージョン5.2.3以降にアップデートすることです。このバージョンには、タグ作成中に悪意のあるJavaScriptコードの注入を防ぐ修正が含まれています。潜在的な攻撃からWebサイトを保護するために、できるだけ早くこのアップデートを適用することをお勧めします。詳細なアップデート手順については、basercmsのセキュリティページ(https://basercms.net/security/JVN_94952030)を参照してください。また、侵害されている可能性のある既存のタグをレビューしてクリーンアップすることが重要です。
Actualice baserCMS a la versión 5.2.3 o superior. Esta versión contiene la corrección para la vulnerabilidad XSS. Puede descargar la última versión desde el sitio web oficial o actualizar a través del panel de administración.
脆弱性分析と重要アラートをメールでお届けします。
XSS(クロスサイトスクリプティング)は、攻撃者が他のユーザーが閲覧するWebページに悪意のあるスクリプトを注入できるセキュリティ脆弱性の種類です。
basercmsのバージョン5.2.3より前のバージョンを使用している場合、Webサイトは脆弱です。セキュリティ監査を実施して、潜在的に侵害されたタグを特定してください。
すぐにバージョン5.2.3以降にアップデートしてください。サーバーログとデータベースを調べて不審な活動がないか確認してください。完全な評価のために、セキュリティ専門家を雇うことを検討してください。
すぐにアップデートできない場合は、ユーザー入力の検証とサニタイズ、およびコンテンツセキュリティポリシー(CSP)の使用などの追加のセキュリティ対策を実装してください。
この脆弱性は、quanlna2 (Le Nguyen Anh Quan)、namdi (Do Ich Nam)、minhnn42 (Nguyen Ngoc Minh)、およびVCSLab - Viettel Cyber Securityによって発見されました。
CVSS ベクトル