JPCERT-AT-2025-0007
JPCERT/CC
2025-03-28

I. 概要

2025年3月22日、有限会社アップルップルはa-blog cmsにおける信頼できないデータのデシリアライゼーションの脆弱性に関するアドバイザリを公開しました。本脆弱性により、遠隔の第三者によって細工されたリクエストに含まれる不正な値を当該製品が処理することで、当該製品が動作するサーバー上に悪意のあるファイルを設置され、任意のスクリプトを実行される可能性があります。有限会社アップルップルは、Ver.2.8以降で本脆弱性の悪用が報告されていることを公表しています。

有限会社アップルップル
【重要なお知らせ】a-blog cmsの脆弱性について
https://developer.a-blogcms.jp/blog/news/security-update202503.html

有限会社アップルップル
脆弱性についての対策・対応について
https://developer.a-blogcms.jp/blog/news/entry-4197.html

本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に記載の情報と、有限会社アップルップルが提供する最新の情報を確認のうえ、対策の実施および侵害有無の調査などを推奨します。また、今後も情報が更新される可能性があるため、有限会社アップルップルが公開する情報を注視いただくことを推奨します。

II. 対象

本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、有限会社アップルップルが提供する最新の情報をご確認ください。

- a-blog cms Ver.3.1.37 未満のバージョン (Ver.3.1.x系)
- a-blog cms Ver.3.0.41 未満のバージョン (Ver.3.0.x系)
- a-blog cms Ver.2.11.70 未満のバージョン (Ver.2.11.x系)
- a-blog cms Ver.2.10.58 未満のバージョン (Ver.2.10.x系)
- a-blog cms Ver.2.9.46 未満のバージョン（Ver.2.9.x系）
- a-blog cms Ver.2.8.80 未満のバージョン（Ver.2.8.x系）
- a-blog cms Ver.2.7.x 以下すべてのバージョン

III. 対策

有限会社アップルップルは本脆弱性を修正した最新バージョンへのアップデートを推奨しています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。

IV. 緩和策

有限会社アップルップルは本脆弱性に対して、次の緩和策を提供しています。修正済みバージョンの適用ができない場合は、有限会社アップルップルが提供する情報を確認の上、緩和策の適用をご検討ください。

- 攻撃に利用されたファイルの削除
- 不審なファイルの削除
- .htaccessでPHPの実行を制限
- .htaccessで攻撃元のIPアドレスを制限

V. 侵害検出方法

有限会社アップルップルが提供する最新の情報などを参考に、脆弱性を悪用する攻撃の被害を受けていないかご確認いただくことを推奨します。同社のアドバイザリには、侵害調査方法として不審なファイルの検出手順のほか、Ver.3.1系であれば、監査ログに攻撃の痕跡である可能性の高いログを確認できることを掲載しています。

VI. 参考情報

Japan Vulnerability Notes JVN#66982699
a-blog cmsにおける信頼できないデータのデシリアライゼーションの脆弱性
https://jvn.jp/jp/JVN66982699/


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。

一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp