区分
JVN番号
タイトル
JVN
深刻度
深刻度
最終更新日
CVE番号
New
JVNDB-2025-010408
PowerCMS における複数の脆弱性
7.2
2025/08/01 11:35
CVE-2025-36563
JVNDB-2025-010408
PowerCMS における複数の脆弱性
- 概要
- アルファサード株式会社が提供する PowerCMS には、次の複数の脆弱性が存在します。 * 反射型クロスサイトスクリプティング (CWE-79) - CVE-2025-36563 * 格納型クロスサイトスクリプティング (CWE-79) - CVE-2025-41391 * ファイルアップロードにおけるパストラバーサル (CWE-22) - CVE-2025-41396 * バックアップリストアにおけるパストラバーサル (CWE-22) - CVE-2025-46359 * CSV ファイル中の数式要素の無害化不備 (CWE-1236) - CVE-2025-54752 * アップロードするファイルの検証が不十分 (CWE-434) - CVE-2025-54757 この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 報告者:VCSLab - Viettel Cyber Security thanhtt74 (Tran Thi Thanh) 氏、namdi (Do Ich Nam) 氏、quanlna2 (Le Nguyen Anh Quan) 氏
- 想定される影響と対策
- 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 * 製品の管理者が細工された URL にアクセスすると、管理者のブラウザ上で任意のスクリプトが実行される (CVE-2025-36563) * 製品ユーザーが細工されたページにアクセスすると、当該ユーザーのブラウザ上で任意のスクリプトが実行される (CVE-2025-41391) * 製品ユーザーによって、任意のファイルが上書きされる (CVE-2025-41396) * 製品の管理者によって、改ざんしたバックアップファイルをリストアされることにより任意のコードが実行される (CVE-2025-46359) * 製品ユーザーが不正に作成したエントリーを、別のユーザーが CSV ファイルとしてダウンロードして自身の環境で開くとコードが実行される (CVE-2025-54752) * 製品ユーザーがアップロードした不正なファイルに製品の管理者がアクセスすると、管理者のブラウザ上で任意のスクリプトが実行される (CVE-2025-54757)
[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 - JVN情報 ※( )内はCVSS v2の値
-
深刻度 7.2CVECVE-2025-36563公表日2025/07/31 00:00登録日2025/08/01 11:35更新日2025/08/01 11:35
- CVSS v3情報
-
…
- 全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。
