CMSはbingo!CMS 低価格×高機能Webデザイナー向けCMS

平素よりbingo!CMSをご愛用いただき、誠にありがとうございます。

この度、bingo!CMSにおいて一部機能をご利用いただいている場合、クロスサイト・スクリプティングの脆弱性があることが判明いたしました。
本件の対象製品及び対処方法につきましては、下記のとおりご報告いたしますとともに、ご不安とご迷惑をお掛けいたしますこと、ここに深くお詫び申し上げます。

※9月10日追記：脆弱性の確認方法とその他を追記いたしました。

バージョン1.6からバージョン1.7.4
※bingo!CMS クラウドプラットフォームにおきましては、すでに対処済みのため本件の対応は不要です。

この脆弱性を悪用された場合、利用者のWebブラウザ上で任意のスクリプトを実行されるおそれがあります。

1. bingo!CMSバージョン1.6～1.6.2をご利用のWebサイト
2. bingo!CMSバージョン1.7以上をご利用で、bingo!CMSの機能を使用しオリジナルの404ページを実装しているWebサイト

※「404」というディレクトリ名のメニューがあり、公開状態になっている場合は実装しています。
※ 未実装のサイトの場合、現在は脆弱性は顕在化しておりませんが、対処法の実施をお願いいたします。
※ bingo!CMSバージョン1.6～1.6.2をご利用のサイトはオリジナル404ページ実装の有無に関わらず、すべて対象となります。

FTPソフトを利用し、対象ファイルをダウンロードして保存します。
bingo!CMSドキュメントルート/app/etc/installcnf.php
※元のファイルは必ずバックアップを保管してください。

ダウンロードした「installcnf.php」の2行目から、以下を追記し保存します。

追記・保存を行った「installcnf.php」を、再度アップロードします。

Firefox または Microsoft Edge をご利用の上、対象サイトのURLに下記パラメータを付与しアクセスしてください。

パラメータ：
/index.php?p=%22%3E%3Cscript%3Ealert%281%29%3B%3C%2Fscript%3E&d=feedback&c=

実施例

対象サイトURL：
https://●●●●●.com/
脆弱性確認用URL：
http://●●●●●.com/index.php?p=%22%3E%3Cscript%3Ealert%281%29%3B%3C%2Fscript%3E&d=feedback&c=

メッセージボックスが表示された状態は、URLのパラメータで指定した任意のスクリプトが実行されたことを意味し、脆弱性があることの証左となります。
メッセージボックスが表示された場合は、本記事内の対処法を必ず実施してください。

なお、この確認方法はご利用のブラウザの種類によりお試しいただけない場合があります。
弊社で確認したところ、Google Chrome 、Internet Explorer 、Safari では、脆弱性の対処前であってもメッセージボックスは表示されませんでした。
本件の脆弱性の確認をする場合には、お手数ですが Firefox か Microsoft Edge で行っていただけますようお願いいたします。

製品プログラムダウンロードページおよびバージョンアッププログラムダウンロードページ内のプログラムファイルは、2019年9月6日（金）に脆弱性対処済みのファイルに差し替えました。
それ以前にダウンロードし、すでにbingo!CMSをインストールされた方は、お手数ですが前述の対処法を必ず実施してください。
また、プログラムファイルをお手元に保存している場合は、該当のファイルを削除し脆弱性対処済みのファイルをダウンロードのうえご利用ください。

対処法に関してご不明点がある場合、もしくはご利用のWebサイトが対象かどうかわからない場合には、下記専用お問い合わせフォームよりご連絡くださいますようお願いいたします。
その他の方法でお問い合わせいただいた場合（直接メールや電話など）は、回答が遅くなることがございますのでご注意ください。