【活用ガイド】

[English]

JVNDB-2025-005050

a-blog cms における複数の脆弱性

概要

有限会社アップルップルが提供する a-blog cms には、次の複数の脆弱性が存在します。

  • パストラバーサル(CWE-22)


    • CVE-2025-27566

    • バックアップ機能のパス検証不備の問題で、悪用には管理者権限が必要です。



  • クロスサイトスクリプティング(CWE-79)


    • CVE-2025-32999

    • エントリー編集画面の特定フィールドに存在する問題で、悪用には投稿者権限以上が必要です。



  • サーバサイドリクエストフォージェリ(CWE-918)

    • CVE-2025-36560


  • ログ出力内容の不十分な無害化(CWE-117)

    • CVE-2025-41429


    CVE-2025-27566、CVE-2025-32999
    この脆弱性情報は、下記の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的に JVN での公表に至りました。
    報告者:Viettel Cyber Security haidv35 (Dinh Viet Hai) 氏

    CVE-2025-36560、CVE-2025-41429
    この脆弱性情報は、下記の方が JPCERT/CCに 報告し、JPCERT/CC が開発者との調整を行いました。
    報告者:VCSLab of Viettel Cyber Security vcth4nh (Vu Chi Thanh) 氏
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 8.6 (重要) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更あり
  • 機密性への影響(C): 高
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
※上記は、CVE-2025-36560 の評価になります。

CVSS v3 による深刻度
基本値:5.4 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 低
  • 利用者の関与: 要
  • 影響の想定範囲: 変更あり
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): なし
※上記は、CVE-2025-32999 の評価になります。

CVSS v3 による深刻度
基本値:4.8 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): なし
※上記は、CVE-2025-41429 の評価になります。

CVSS v3 による深刻度
基本値:3.8 (注意) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 高
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): なし
※上記は、CVE-2025-27566 の評価になります。
影響を受けるシステム


有限会社アップルップル
  • a-blog cms Ver. 3.1.43 より前のバージョン(Ver. 3.1.x系) - CVE-2025-27566、CVE-2025-32999
  • a-blog cms Ver. 3.0.47 より前のバージョン(Ver. 3.0.x系) - CVE-2025-27566、CVE-2025-32999
  • a-blog cms Ver. 3.1.43 およびそれ以前のバージョン(Ver. 3.1.x系) - CVE-2025-36560、CVE-2025-41429
  • a-blog cms Ver. 3.0.47 およびそれ以前のバージョン(Ver. 3.0.x系) - CVE-2025-36560、CVE-2025-41429
  • a-blog cms Ver. 2.11.75 およびそれ以前のバージョン(Ver. 2.11.x系) - CVE-2025-36560、CVE-2025-41429
  • a-blog cms Ver. 2.10.63 およびそれ以前のバージョン(Ver. 2.10.x系) - CVE-2025-36560、CVE-2025-41429
  • a-blog cms Ver. 2.9.52 およびそれ以前のバージョン(Ver. 2.9.x系) - CVE-2025-36560、CVE-2025-41429
  • a-blog cms Ver. 2.8.85 およびそれ以前のバージョン(Ver. 2.8.x系) - CVE-2025-36560、CVE-2025-41429

開発者によると、すでにサポートが終了している a-blog cms Ver. 2.11以前のバージョンも本脆弱性の影響を受けるとのことです。 - CVE-2025-27566、CVE-2025-32999

開発者によると、すでにサポートが終了している a-blog cms Ver. 2.7.x 以前のバージョンも本脆弱性の影響を受けるとのことです。 - CVE-2025-36560、CVE-2025-41429

メンテナンスポリシーに関しては、開発者の示す「メンテナンスポリシーについて」をご確認ください。
想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • サーバー上の任意のファイルを取得されたり削除されたりする(CVE-2025-27566)

  • 当該製品にログインしているユーザーのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2025-32999)

  • 細工したリクエストを処理することで、機微な情報にアクセスされる(CVE-2025-36560)

  • 両脆弱性を組み合わせることで、正規ユーザーのセッションを乗っ取られる(CVE-2025-36560、CVE-2025-41429)


対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください

[ワークアラウンドを実施する]
CVE-2025-36560、CVE-2025-41429 に関して、開発者はワークアラウンドも提供しています。

詳細は、開発者が提供する情報を確認してください。
ベンダ情報

有限会社アップルップル
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切なログ出力の無効化(CWE-117) [その他]
  2. パス・トラバーサル(CWE-22) [その他]
  3. クロスサイトスクリプティング(CWE-79) [その他]
  4. サーバサイドのリクエストフォージェリ(CWE-918) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2025-27566
  2. CVE-2025-32999
  3. CVE-2025-36560
  4. CVE-2025-41429
参考情報

  1. JVN : JVNVU#90760614
更新履歴

  • [2025年05月15日]
      掲載

公表日2025/05/14
登録日2025/05/15
最終更新日2025/05/15