q19cms

【重要】 CMSの脆弱性のご報告とお詫び

■日時:2024/04/05

【CMSの脆弱性についてのご報告とお詫び】

2024年4月5日 q19cms 栗原

当社CMSに脆弱性が見つかりました。大変申し訳ございません。
下記の内容に従い、早急にご対応いただけますよう、お願いいたします。

・経緯

4月1日より複数の利用者より、サイトをアクセスすると、外部サイトに遷移するという連絡がありました。
該当ユーザーより、ログなどの提供を受け調査を開始しました。
その結果、4月4日夕方にindex.phpの脆弱性を確認いたしました。

・脆弱性の内容

当社CMSでは、出力時のhtmlをURLから指定する機能があり、htmlに外部ファイルを指定すると、そのファイルが読み込まれてしまいます。
ファイルにPHPのプログラムが含まれている場合、本システムの性質上プログラムが実行されてしまいます。
該当機能は次のCMSにあります。

高機能版CMS(MAP版含む)
通常版CMS
ポータルCMS(MAP版含む)
汎用版CMS
ショップCMS
スタッフCMS

・影響範囲

サーバー上のファイルの流出、ファイルの書き換え、ファイルの追加、実行などが行われる可能性があります。
なお、ショップCMSでは、クレジットカード情報は保持していないため、クレジットカード情報の流出はありません。
ただし、購入履歴とそれに伴うユーザー情報の流出の可能性があります。
ショップCMS以外では、ユーザー情報を取集していないため、流出はありません。
また、お問い合わせ機能は、メールで送信するのみで、情報を保存していないため、影響はありません。

・対策のお願い
[改変されていた場合]
改変されたindex.phpをもとに戻してください。
また、about.phpなど、改変用のプログラムが複数設置されている場合がありますので、index.php、setup.php以外のPHPファイルがあったら削除してください。
改変用のプログラムがあると、index.phpをもとに戻しても、すぐに改変されてしまいますので、先に削除をお願いします。
また、不正に設置されたPHPファイルは、下層に存在する場合もありますので、ご確認をお願いいたします。
サーバー会社に連絡し、指示があった場合はその指示に従ってください。

[すべてのお客様]
問題となった脆弱性の対策として、index.php内の次の行を削除してください。(2つあります、ショップCMSは1カ所のみ)
$html = $_REQUEST["html"];
これにより、外部ファイルの読み込みが行えなくなります。

・その他

設定において、htmlファイルを指定している場合は、本問題はありません。URLから指定する場合のみです。
また、htmlファイル指定が必要な場合は、現在提供している試用版のindex.phpに置き換えることでも対策が可能です。
この対策では、htmlファイルの指定は可能ですが、サーバー内部のファイル以外は使用しない様になっておりますので、今回の問題は発生しません。
使用する場合は、上記の行はコメント(先頭に//が付いている)になっていますので、コメントを外してください。
ただし、index.phpを修正されている場合など動作が異なる可能性がありますので、十分注意してご利用ください。

本内容について、不明点などありましたら、下記メールアドレスまたは、問合せフォームからお知らせください。

連絡先:cms@q19cms.com
担当者:栗原 好昭(くりはら よしあき)
お問い合わせ:https://q19cms.com/contact.html
専用掲示板:https://q19cms.com/bbs/bbs-list-27.html

お客様には、ご迷惑、ご心配をおかけしまして、大変申し訳ございません。

一覧に戻る