Published: 2024-10-18 08:00
baserCMS 用プラグイン「BurgerEditor」にディレクトリリスティングの脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月10日、baserCMS用プラグイン「BurgerEditor」におけるディレクトリリスティングの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。Koh You Liang氏とSompo Digital Lab Tel AvivのOrel Gispan氏が報告を行っている。影響を受けるシステムは以下の通り。
BurgerEditor (v2) v2.25.1よりも前のバージョン
BurgerEditor Limited Edition v2.25.1よりも前のバージョン
※baserCMS5系向けの「BurgerEditor」は本脆弱性の影響を受けない
株式会社ディーゼロが提供するbaserCMS用プラグイン「BurgerEditor」には、ディレクトリリスティング(CVE-2024-44807)の脆弱性が存在し、当該プラグインを使用しているサイトに対し末尾に特定の文字列を追加したURLでアクセスすると、アップロードされているファイルの一覧を取得可能で、この情報をもとにアップロードされているファイル自体も取得可能となる。
想定される影響としては、当該プラグインを使用しているサイトにて、アップロードしたファイルの一覧やファイル自体を認証無しで取得される可能性がある。
JVNでは、開発者が提供する情報をもとにプラグインを最新版にアップデートするよう呼びかけている。なお、
本脆弱性は下記のバージョンで修正されている。
BurgerEditor (v2) v2.25.1
BurgerEditor Limited Edition v2.25.1
| # | 言葉 | 意味 |
|---|---|---|
| 4 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 3 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 3 | 取得 | とりえ (取り柄) : worth; merit; value; good point; redeeming feature; saving grace |
| 2 | 氏 | うじ (氏) : 1. family name; lineage; birth 2. clan |
| 2 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 2 | 当該 | とうがい (当該) : appropriate (e.g. authorities); concerned; relevant; said; aforementioned; competent; applicable; respective |
| 2 | 使用 | しよう (使用) : use; application; employment; utilization; utilisation |
| 2 | 一覧 | いちらん (一覧) : 1. look; glance; sight; inspection 2. summary; list; table; catalog; catalogue |
| 2 | 可能 | かのう (可能) : possible; potential; practicable; feasible |
| 2 | 情報 | じょうほう (情報) : 1. information; news; intelligence; advices 2. information; data contained in characters, signals, code, etc. |
| 2 | もと | もと (元) : 1. origin; source 2. base; basis; foundation; root |
| 2 | 自体 | じたい (自体) : 1. itself 2. one's own body; oneself |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | および | および (及び) : and; as well as |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 報告 | ほうこく (報告) : report; information |
| 1 | 行う | おこなう (行う) : to perform; to do; to conduct oneself; to carry out |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 系 | けい (系) : 1. system; lineage; group 2. corollary |
| 1 | 向け | むけ (向け) : intended for ...; oriented towards ...; aimed at ... |
| 1 | 受ける | うける (受ける) : 1. to receive; to get 2. to catch (e.g. a ball) |
| 1 | 株式会社 | かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 対する | たいする (対する) : 1. to face (each other); to be facing 2. to be directed toward (the future, etc.); to be in response to; to be related to |
| 1 | 末尾 | まつび (末尾) : end (e.g. of report, document, paragraph, etc.) |
| 1 | 特定 | とくてい (特定) : 1. specific; particular; designated; special 2. specifying; designating; identifying; pinpointing |
| 1 | 文字列 | もじれつ (文字列) : character string |
| 1 | 追加 | ついか (追加) : addition; supplement; appending; appendix |
| 1 | 想定 | そうてい (想定) : hypothesis; supposition; assumption |
| 1 | にて | で : 1. at; in 2. at; when |
| 1 | 認証 | にんしょう (認証) : 1. certification; attestation; authentication; confirmation 2. Imperial attestation |
| 1 | 無し | なし (無し) : 1. without 2. unacceptable; not alright; unsatisfactory |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 開発者 | かいはつしゃ (開発者) : developer |
| 1 | 最新版 | さいしんばん (最新版) : latest version; latest edition |
| 1 | 呼びかける | よびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal |
| 1 | なお | なお (尚) : 1. still; yet 2. more; still more; greater; further |
| 1 | 下記 | かき (下記) : the following |
| 1 | 修正 | しゅうせい (修正) : amendment; correction; revision; modification; alteration; retouching; update; fix |