CVE-2024-28187
SOY CMSにおけるOSコマンドインジェクションの脆弱性
報告者
反田 巧飛
脆弱性の概要
OSコマンドインジェクション
SOY CMS(※)の管理者によって任意のOSコマンドを実行される脆弱性
※SOY CMS・・・オープンソースのコンテンツ管理システム
影響を受けるシステムおよびバージョン
SOY CMS 3.14.2およびそれ以前のバージョン
脆弱性が悪用された場合の影響
jpegoptim(JPEGファイルを最適・圧縮化するシステム)が
対象のシステムにインストールされている場合に影響する。
攻撃者はファイル操作、ネットワーク、プロセス管理、ユーザ管理、設定変更、バックドア作成など、OSのあらゆるコマンドを実行できます。
それにより以下のようなことが可能になります。
- ・機密情報の窃取
- ・サーバ乗っ取り
- ・サービス停止
- ・マルウェア感染
- ・別のシステムへの踏み台
対策と修正プログラムの情報
https://github.com/inunosinsi/soycms/security/advisories/GHSA-qg3q-hfgc-5jmm
https://nvd.nist.gov/vuln/detail/CVE-2024-28187
