2025年夏ごろから、a-blog cmsの脆弱性を悪用した不正アクセスが急増しています。
さくらのレンタルサーバではクイックインストールによるa-blog cmsのご提供はなく、動作保証も行っておりませんが、多数のお客様がご利用である事を確認しております。
お心当たりがある場合は以下をご確認のうえ、ご対応いただけますようお願いいたします。
なお、現在 a-blog cms をご利用されていない場合でも、設置されたファイルが残っていると被害を受ける恐れがあります。
不要なファイルはファイルマネージャー等から削除してください。
※本脆弱性は2025年3月に開発元より発表されたものです。
概要
2025年3月21日、a-blog cms にオブジェクトインジェクション(Object Injection)の脆弱性が発見されました。
この脆弱性を悪用されると、攻撃者によりサーバー上に不正なファイルを設置される可能性があります。
対象バージョン
対象バージョンについては、以下の注意喚起情報をご参照ください。
【重要なお知らせ】a-blog cmsの脆弱性について(外部サイト)
推奨される対応
管理画面またはFTP等で現在利用中の a-blog cms のバージョンをご確認の上、お客様環境が対象バージョンに該当する場合、以下を至急ご実施ください。
最新版へのアップデート
脆弱性が修正された最新バージョンへの更新を強く推奨します。
設置されているファイルの確認
サーバー上に見慣れないファイルが設置されていないか確認してください。
もし、意図しないファイルが確認された場合は、Web公開フォルダ(/www) 内のデータをすべて削除することをご検討ください。
監査およびログ確認
特に問題を確認できなかった場合も、管理画面のログ、ファイル変更履歴、アクセスログ等を見直して、異常の痕跡がないかご確認いただく事をお勧めいたします。
サポートについて
a-blog cmsの設定やバージョンアップは弊社サポート対象外となります。
ご自身での対応が難しい場合や被害の可能性がある場合は、ウェブ制作会社など専門業者へのご相談をご検討ください。
なお、さくらインターネットでは Web制作・運用やサーバー設定を支援するパートナーをご紹介しております。
Web制作/運用・サーバー設定・パートナー
さくらインターネットでは、お客様の「やりたいこと」を「できる」に変えるを実現するため、安心してご利用いただけるセキュリティの強化に努めてまいります。
今後ともどうぞよろしくお願い申し上げます。