baserCMSに9件の脆弱性発覚!国産CMSユーザーが今すぐ取るべき対策

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「国産CMSだから海外の攻撃者には狙われにくいと思っていたけど、本当に大丈夫?」
「baserCMSの脆弱性って、SQLインジェクションやOSコマンドインジェクションまであるの…?」

チップス

ボス!baserCMSに9件も脆弱性が見つかったって聞いたんでしゅけど、SQLインジェクションにOSコマンドインジェクションって、全部入りじゃないでしゅか!?

ボス

ああ、まさに「全部入り」だな。XSS、SQLインジェクション、OSコマンドインジェクション、パストラバーサル、RCEまで揃っている。国産CMSだからといって安心していると痛い目に遭うぞ。

baserCMSは日本の企業サイトやコーポレートサイトで広く利用されている国産CMSです。
この記事では、2026年3月に公表された9件の脆弱性の内容と、管理者が今すぐ確認すべきポイントを解説します。

  • baserCMS 5.2.2以前に9件の脆弱性が発見、OSコマンドインジェクションやSQLインジェクションを含む
  • JPCERT/CCが2026年4月1日の週間レポートで注意喚起、JVN#20837860として公開
  • 最新バージョンへの即時アップデートが必須の対策

自社サイトでbaserCMSを利用している方は、バージョンの確認と対応を急いでください。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

baserCMS 9件の脆弱性の概要

2026年3月26日、baserCMSユーザー会はJVN#20837860として9件の脆弱性情報を公開しました。
JPCERT/CCも4月1日の週間レポートでこの問題を取り上げ、注意を呼びかけています。

発見された脆弱性の一覧

影響を受けるのはbaserCMS 5.2.2およびそれ以前のバージョンです。
脆弱性の内容は以下の通りです。

CVE番号脆弱性の種類影響箇所
CVE-2026-30879クロスサイトスクリプティングブログ記事編集
CVE-2026-27697SQLインジェクションブログ記事一覧
CVE-2026-30880OSコマンドインジェクションインストーラー
CVE-2026-32734クロスサイトスクリプティングブログ記事編集・タグ作成
CVE-2026-30877OSコマンドインジェクションコアアップデート機能
CVE-2026-30878メールフォーム送信バイパスMail API
CVE-2026-30940パストラバーサルTheme File API
CVE-2026-21861OSコマンドインジェクションコアアップデート
CVE-2025-32957リモートコード実行データベースレストア

OSコマンドインジェクションが3件、XSSが2件と、深刻度の高い脆弱性が複数含まれています。

脆弱性の危険性と企業が確認すべきポイント

今回の脆弱性が特に危険な理由は、攻撃手法の多様さと、管理画面を経由した攻撃が成立する点です。

管理画面経由の攻撃リスク

SQLインジェクション(CVE-2026-27697)では、ブログ記事一覧ページを通じてデータベース上の情報を不正に取得される恐れがあります。
OSコマンドインジェクション(CVE-2026-30877等)では、サーバー上で任意のコマンドを実行され、システム全体を乗っ取られる危険性も。

管理者が把握すべきリスクのポイントは以下の通りです。

  • 管理画面にアクセスできるユーザーが悪意あるスクリプトを埋め込める(XSS)
  • ブログ機能を通じてデータベースの内容を窃取される(SQLインジェクション)
  • アップデート機能やインストーラーを悪用してサーバーを完全に掌握される(OSコマンドインジェクション・RCE)

「管理画面は社内からしかアクセスしないから大丈夫」という油断は禁物です。
XSSを組み合わせることで、正規ユーザーのブラウザを経由して攻撃が実行される場合もあります。

チップス

うちの会社のサイトもbaserCMSだった気がするでしゅ……。バージョン確認しないと……

ボス

すぐに管理画面のダッシュボードでバージョンを確認しろ。5.2.2以前なら、最新版へのアップデートを今日中に計画するんだ。

まとめ

baserCMS 5.2.2以前に存在する9件の脆弱性は、OSコマンドインジェクションやSQLインジェクションなど深刻なものを多数含んでいます。
最新バージョンへのアップデートが唯一の根本対策です。

対応手順として以下を推奨します。

  • baserCMSのバージョンを確認し、5.2.2以前であればアップデートを実施
  • アップデート前にデータベースとファイルのバックアップを取得
  • 管理画面へのアクセス制限(IP制限・二要素認証)を見直す

詳細はbaserCMS公式セキュリティ情報およびJVN#20837860で確認できます。

ボス

国産だからとか、マイナーだからとか、そういう理由で油断するな。攻撃者はCVEデータベースを毎日チェックしている。お前たちより真面目にな。

チップス

は、はいっ……。今すぐバージョン確認してくるでしゅ!

セキュリティ人材として脆弱性診断やCMS運用の経験を活かしたい方へ。
フリーランス案件をご紹介しています。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次