CVE-2024-27279
a-blog cmsにディレクトリトラバーサルの脆弱性
報告者
石井 健太郎
脆弱性の概要
ディレクトリトラバーサル
有限会社アップルップルが提供する「a-blog cms」にログイン可能な編集者権限以上の
ユーザによって、パスワードファイルを含むサーバ上の任意のファイルを窃取される可能性がある脆弱性
影響を受けるシステムおよびバージョン
a-blog cms Ver.3.1.9 およびそれ以前のバージョン (Ver.3.1.x系)
a-blog cms Ver.3.0.30 およびそれ以前のバージョン (Ver.3.0.x系)
a-blog cms Ver.2.11.59 およびそれ以前のバージョン (Ver.2.11.x系)
a-blog cms Ver.2.10.51 およびそれ以前のバージョン (Ver.2.10.x系)
脆弱性が悪用された場合の影響
攻撃者は非公開ファイルが保管されているディレクトリにアクセスし、閲覧が可能になります。
それにより以下の様な事が可能となります。
- ・任意のファイルを窃取
