2022/11/2
転載歓迎
Concrete CMS セキュリティアドバイザリ (2022-10-31)
外部の独立した侵入テストなどを行う Fortbridge 社が、2022年の年次侵入&脆弱性アセスメントをPortlandLabs 社が提供する Concrete CMS ホスティングサービスと Concrete CMS オープンソースプロジェクトに対して侵入テスト・脆弱性診断をを行いました。
Fortbridge 社は、以前から Concrete CMS のセキュリティ脆弱性を向上させようと無利益でたくさんの HackerOne レポートを送ってくれ、オープンソースである Concrete CMS のセキュリティ向上を行ってもらったからです。
この結果として、Concrete CMS の2つのセキュリティアップデートをリリースしました。 Concrete CMS 8.5.10 と 9.1.3 です。また、以下の CVE を Concrete CMS 8.5.10 以下、として 9.0.0〜9.1.2 を対象に発行しました。
- コアの OAuth を利用している外部の Concrete 認証サービスで「ステート」が無いために CSRF 脆弱性が発生しています。セキュリティチームは、この脆弱性を 6.8 Medium CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N と評価しています。
- この脆弱性は攻撃者が OAuth クライアントシークレットと、OAuth クライアントが、Redirect URL を設定していない場合に起こり上ります(V9 では不可能です)
- URL 使ったクロスサイトスクリプティング (Reflected XSS) によって管理者を脆弱にします。セキュリティチームは、この脆弱性を 6.4 Medium CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N と氷解しています。
- この脆弱性は、クロスサイトスクリプティングの保護機能がない古いブラウザをしようとしている管理者のみターゲットにされる脆弱性です。
- 画像編集ライブラリの出力がサニタイズされていなかったことに対する、クロスサイトスクリプティング (Reflected XSS) の脆弱性です。この脆弱性を 5.9 Medium CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:N と評価しています。
- 多言語レポートページの出力がサニタイズされていなかったことに対する、クロスサイトスクリプティング (Reflected XSS) の脆弱性です。この脆弱性を 5.9 Medium CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:N と評価しています。
- 管理画面のアイコンページの出力がサニタイズされていなかったことに対する、クロスサイトスクリプティング (Reflected XSS) の脆弱性です。この脆弱性を 5.9 Medium CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:N と評価しています。
- authTypeConcreteCookieMap テーブルが DDoS 攻撃によってデータを流入させられる脆弱性です。この脆弱性を 4.8 Medium CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H としています。
- この脆弱性は、攻撃者が正規のユーザーアカウントを保有している必要があります。
- エラーのデバッグ出力が本番サイトで間違って有効化されて、サーバー情報やサーバーの環境情報などの重要な情報が晒されてしまう可能性があります。この脆弱性を 4.3 Medium CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N と評価しています。
- Concrete 8.5.10 や 9.0.0~9.1.2 の応急対策:デバッグモードが本番でオフになっていることを確認してください。詳細はサーバーとCMSの推奨設定 (原文) をご覧ください。
- OAuth 認証後に、Session ID を新しく発行しないための、セッション固定化の脆弱性です。この脆弱性を 4.2 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N と評価しています。
- 8.5.10 以下、9.0.0~9.1.2 でも、ユーザー名・パスワード認証をしていればセッションは更新されます。サイトがユーザー名・パスワード認証をしているのであれば影響はありません。
- エクスプレスのアソシエーション管理画面 (dashboard/system/express/entities/associations) におけるクロスサイトスクリプティング (Stored XSS) の脆弱性です。サニタイズが十分にされていないため、存在しないエンティティ名、存在するエンティティ名両方に、XSS が含まれてるのを許可してしまっていました。この脆弱性を 3.1 CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:N と評価しています。
- この脆弱性は攻撃者が管理者権限を有している必要があります。
- legazy_salt が strict comparison をしていないため、限定的な認証バイバスの脆弱性の可能性があります。この脆弱性を 3.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N と評価しています。
- この脆弱性は以下の条件の時のみ有効です
- 文字列ではなく、整数が使われている場合
- 攻撃者が Concrete サイト 5.4 以前にユーザー登録をし、5.4 以上にアップデートされてから一度もログインしていない場合
- ユーザーのパスワードのハッシュが整数 (例: 0b1111111)のような場合
- アイコンのクロスサイトスクリプティング脆弱性です。この脆弱性を 3.1 CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:N と評価しています。
- XML外部実態攻撃(XXE攻撃)ベースの DNS リクエストによるIPアドレスの漏洩につながる脆弱性です。この脆弱性を 2.2 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:N と評価しています。
このリリースには @_akbar_jafarli_ 氏が HackerOne の #1696363 にて報告していただいた修正も含まれています。
CVE番号は取得中:管理画面ページの出力がサニタイズされていないため、テキスト入力フィールドのクロスサイトスクリプティングの脆弱性です。この脆弱性を 4.2 CVSS v3.1 vector AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N と評価しています。
以上