重要・要対応
bingo!CMS 認証回避脆弱性に関する対応をお願いいたします
記:2022年10月11日 更新:2024年6月20日
平素よりお世話になっております。
この度、シフトテックが開発・販売する「bingo!CMS」におきまして、認証回避の脆弱性(CWE-288)の存在が確認されました。
bingo!CMSをご利用のお客様におかれましては、お手数をおかけいたしますが、下記をご確認のうえ至急ご対応くださいますようお願い申し上げます。
※2024年6月20日更新:bingo!CMS1.6用バージョンアップライセンスの無償提供を終了しました。
確認された脆弱性
「ログイン認証を必要とする管理機能の一部に対し、特定のURLでアクセスすることにより、不正なコードを含むファイルがアップロードされる認証回避の脆弱性」(JVN識別番号 #74592196)
攻撃者がアップロードされたファイルに対し特定のリクエストを送信することで、任意スクリプトの実行や不正なファイルの作成、ファイルが改竄される恐れがあり、すでに脆弱性を悪用した攻撃が確認されています。
影響を受けるバージョン
bingo!CMS(インストール版)v1.7.4.1、およびそれ以前のすべてのバージョン
なお、bingo!CMS(クラウド版)は脆弱性対策済み、bingo!CMSエンタープライズ版とbingo!Expressは本件対象外のためお客様による対応は不要です。
対策の実施が必要なお客様
- bingo!CMS(インストール版)を購入されたbingo!CMSパートナー
→ このお知らせを最後までご覧いただき、貴社がbingo!CMSで構築されたサイトへ対策を実施してください。 - bingo!CMS(インストール版)を購入された制作会社
→ このお知らせを最後までご覧いただき、貴社がbingo!CMSで構築されたサイトへ対策を実施してください。 - 弊社にてサイト制作、システム開発をさせていただいたお客様
→ 弊社の担当者より個別にご連絡いたします。 - bingo!CMSパートナーや制作会社を通してbingo!CMSを購入されたお客様
→ bingo!CMSパートナーまたは制作会社へ直接対策をご依頼ください。
対策方法
bingo!CMS(インストール版)を最新版のv1.7.4.2へバージョンアップしてください(PHP5.6以上のサーバー環境が必要です)。
対応方法はご利用のbingo!CMS(インストール版)のバージョンにより異なります。下記の表をご確認のうえ製品ごとに実施をお願いいたします。
bingo!CMSのバージョンはログイン画面右下に記載がございます。バージョンの記載がない場合は、bingo!CMSv1.4以下となります。
一次対策済みのサイトも、本バージョンアップにて検証済みの正しいプログラムへ置き換えられます。ぜひこの機会に実施ください。
| bingo!CMSのバージョン | 必要な対策 | 特記事項 |
|---|---|---|
| v1.7.4以降 | 【提供するファイル】 ・bingo!CMSv1.7.4.2バージョンアップパッチ 【作業内容】 ・パッチファイル・フォルダ数点のアップロード 【バージョンアップライセンス料金】 ・無償 |
bingo!CMSv1.7.xは現行バージョンのため、バージョンアップライセンスは無償です。 代行作業は有償(1サイトにつき税込16,500円〜)にて承ります。 bingo!CMSv1.7.4.2へバージョンアップするにはPHP5.6以上のサーバー環境が必要です。 |
| v1.7.0 - v1.7.4未満 | 【提供するファイル】 ・bingo!CMSv1.7.4.2パッケージ ・バージョンアップツール 【作業内容】 ・パッケージファイルのアップロード ・バージョンアップツールの実行 【バージョンアップライセンス料金】 ・無償 |
|
| v1.6.x | 【提供するファイル】 ・bingo!CMSv1.7.4.2パッケージ ・バージョンアップツール ・ライセンスファイル 【作業内容】 ・パッケージファイルのアップロード ・バージョンアップツールの実行 ・ライセンスファイルの差し替え 【バージョンアップライセンス料金】 ・無償 |
bingo!CMSv1.6.xは製品の販売が終了しているため、バージョンアップライセンスは有償です。 一般価格は以下のとおりです。 ・税込8,800円 bingo!CMSv1.7.4.2へバージョンアップするにはPHP5.6以上のサーバー環境が必要です。 |
| v1.5以下 | 【提供するファイル】 ・bingo!CMSv1.7.4.2パッケージ ・バージョンアップツール ・ライセンスファイル 【作業内容】 ・パッケージファイルのアップロード ・バージョンアップツールの実行 ・ライセンスファイルの差し替え ・スキンの修正 【バージョンアップライセンス料金】 ・有償(右記参照) |
bingo!CMSv1.5以下は製品の公式サポートが終了しているため、バージョンアップを特に強く推奨いたします。 バージョンアップライセンスの一般価格は以下の通りです。 ・v1.5プラス 税込11,000円 ・v1.5.x 税込23,320円 ・v1.4以下 税込41,800円 代行作業は有償(1サイトにつき税込16,500円〜)にて承ります。 また、v1.5以下のスキンはbingo!CMSv1.7.4.2との互換性が無く改修作業が必要となるため、改修作業料金を別途お見積りいたします。 bingo!CMSv1.7.4.2へバージョンアップするにはPHP5.6以上のサーバー環境が必要です。 |
バージョンアップができない場合の回避方法
管理機能にアクセス制限(ベーシック認証やレンタルサーバで提供しているアクセス制限機能)をかける
アクセス制限を解除すると脆弱性が顕在化してしまうため、基本的にはbingo!CMSのバージョンアップを第一優先とし、どうしてもバージョンアップが難しい場合のみアクセス制限を選択してください。
アクセス制限 設定方法の例(外部サイト)
- さくらインターネット - ファイルマネージャでアクセス制限をしたい - さくらインターネット - 「パスワードによる制限」
- Xserver - アクセス制限 - Xserver - 「アクセス制限設定」
- LOLIPOP! - アクセス制限の設定 / サーバー・プログラム / マニュアル - ロリポップ!レンタルサーバー
上記以外のレンタルサーバーをご利用の場合は、各社が提供するマニュアル等をご確認ください。
関連情報
JVN#74592196 bingo!CMS における認証回避の脆弱性
この度はご迷惑とご心配をおかけし誠に申し訳ございません。
以上、何卒よろしくお願い申し上げます。
バージョンアップお申し込みフォーム
バージョンアップのお申し込みは下記フォームよりお願いいたします。また、本件に関するお問い合わせは各専用フォームをご利用ください。
その他の方法によるお問い合わせ(直接メールや電話など)は、回答にお時間を頂戴する場合がございます。
専用フォームご利用対象外のお客様
- 弊社にてサイト制作、システム開発をさせていただいたお客様
弊社の担当者へメールにて直接ご連絡ください。 - bingo!CMSパートナーや制作会社を通してbingo!CMSを購入されたお客様
お手数ではございますが、まずは最初にご購入された販売元へお申し込み・お問い合わせください。
弊社に直接ご連絡をいただいた場合は、最初に購入された販売元へお問い合わせ内容を転送いたします。
ご参考:bingo!CMS サポート体制について
