チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「国産CMSだから海外の攻撃者には狙われにくいと思っていたけど、本当に大丈夫?」
「baserCMSの脆弱性って、SQLインジェクションやOSコマンドインジェクションまであるの…?」
チップスボス!baserCMSに9件も脆弱性が見つかったって聞いたんでしゅけど、SQLインジェクションにOSコマンドインジェクションって、全部入りじゃないでしゅか!?
ボスああ、まさに「全部入り」だな。XSS、SQLインジェクション、OSコマンドインジェクション、パストラバーサル、RCEまで揃っている。国産CMSだからといって安心していると痛い目に遭うぞ。
baserCMSは日本の企業サイトやコーポレートサイトで広く利用されている国産CMSです。
この記事では、2026年3月に公表された9件の脆弱性の内容と、管理者が今すぐ確認すべきポイントを解説します。
自社サイトでbaserCMSを利用している方は、バージョンの確認と対応を急いでください。
オススメ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
2026年3月26日、baserCMSユーザー会はJVN#20837860として9件の脆弱性情報を公開しました。
JPCERT/CCも4月1日の週間レポートでこの問題を取り上げ、注意を呼びかけています。
影響を受けるのはbaserCMS 5.2.2およびそれ以前のバージョンです。
脆弱性の内容は以下の通りです。
| CVE番号 | 脆弱性の種類 | 影響箇所 |
|---|---|---|
| CVE-2026-30879 | クロスサイトスクリプティング | ブログ記事編集 |
| CVE-2026-27697 | SQLインジェクション | ブログ記事一覧 |
| CVE-2026-30880 | OSコマンドインジェクション | インストーラー |
| CVE-2026-32734 | クロスサイトスクリプティング | ブログ記事編集・タグ作成 |
| CVE-2026-30877 | OSコマンドインジェクション | コアアップデート機能 |
| CVE-2026-30878 | メールフォーム送信バイパス | Mail API |
| CVE-2026-30940 | パストラバーサル | Theme File API |
| CVE-2026-21861 | OSコマンドインジェクション | コアアップデート |
| CVE-2025-32957 | リモートコード実行 | データベースレストア |
OSコマンドインジェクションが3件、XSSが2件と、深刻度の高い脆弱性が複数含まれています。
今回の脆弱性が特に危険な理由は、攻撃手法の多様さと、管理画面を経由した攻撃が成立する点です。
SQLインジェクション(CVE-2026-27697)では、ブログ記事一覧ページを通じてデータベース上の情報を不正に取得される恐れがあります。
OSコマンドインジェクション(CVE-2026-30877等)では、サーバー上で任意のコマンドを実行され、システム全体を乗っ取られる危険性も。
管理者が把握すべきリスクのポイントは以下の通りです。
「管理画面は社内からしかアクセスしないから大丈夫」という油断は禁物です。
XSSを組み合わせることで、正規ユーザーのブラウザを経由して攻撃が実行される場合もあります。
チップスうちの会社のサイトもbaserCMSだった気がするでしゅ……。バージョン確認しないと……
ボスすぐに管理画面のダッシュボードでバージョンを確認しろ。5.2.2以前なら、最新版へのアップデートを今日中に計画するんだ。
baserCMS 5.2.2以前に存在する9件の脆弱性は、OSコマンドインジェクションやSQLインジェクションなど深刻なものを多数含んでいます。
最新バージョンへのアップデートが唯一の根本対策です。
対応手順として以下を推奨します。
詳細はbaserCMS公式セキュリティ情報およびJVN#20837860で確認できます。
ボス国産だからとか、マイナーだからとか、そういう理由で油断するな。攻撃者はCVEデータベースを毎日チェックしている。お前たちより真面目にな。
チップスは、はいっ……。今すぐバージョン確認してくるでしゅ!
セキュリティ人材として脆弱性診断やCMS運用の経験を活かしたい方へ。
フリーランス案件をご紹介しています。
オススメ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
