このウェブページのスクリーンショットから、脆弱性に関する以下の重要な情報を取得できます: 1. 脆弱性の種類: - タイプ:格納型XSS(Stored XSS) - 影響を受けるバージョン:9.0.1, 9.0.2, 9.1.0, 9.1.1, 9.1.2, 8.5.10-12, 9.1.3, 9.2.0, 9.2.1, 9.2.5, 9.2.6, 9.2.7, 9.2.8, 9.2.9, 9.3.0, 9.3.1, 9.3.2, 9.3.3 2. 影響を受けるコンポーネント: - RSS Display Block - Generate Board Name Input Field - getAttributeSetName() 3. 脆弱性の説明: - RSS Display Block:出力時にボードインスタンス名が安全に処理されていないため、悪意のあるコードが注入されます。 - Generate Board Name Input Field:入力処理において十分な検証が行われていないため、悪意のあるコードの注入を許可します。 - getAttributeSetName():ボードインスタンス名の処理時に安全な処理が行われていないため、悪意のあるコードが注入されます。 4. 修正措置: - RSS Display Block:出力時にボードインスタンス名を安全に処理することで修正します。 - Generate Board Name Input Field:入力処理において十分な検証を行うことで修正します。 - getAttributeSetName():ボードインスタンス名の処理時に安全な処理を行うことで修正します。 5. セキュリティ更新: - Concrete CMS:バージョン9.0.1から9.3.3においてこれらの脆弱性が修正されました。 6. セキュリティ評価スコア: - CVSS v3.1:3.1 - CVSS v4:2.1 これらの情報により、ユーザーはどのバージョンのConcrete CMSに格納型XSS脆弱性があるかを確認し、これらの脆弱性を修正するために適切なセキュリティ対策を実施できます。