PowerCMS™
[ブログ] PowerCMS 6 でのアップデートまとめ を追加しました。
[ブログ] 画面遷移をより少ない操作で行うための動線の追加 - リンク を追加しました。
[ブログ] PowerCMS サポートの実績 (2022年4月) を追加しました。
[ブログ] Google 検索の結果に表示される URL を統一する を追加しました。

新着情報

ホーム > 新着情報 > XMLRPC API おける OS コマンド・インジェクションの脆弱性 (JVN#17645965)…

XMLRPC API おける OS コマンド・インジェクションの脆弱性 (JVN#17645965) 対策の修正ファイルについて

10月22日に公開致しました XMLRPC API おける OS コマンド・インジェクションの脆弱性 (JVN#17645965) への修正ファイルについて、対策が不足していることがわかりました。

不十分であったケースについて対策を行った修正ファイルを提供いたします。

なお、不十分であったのは修正ファイルによる対策を行っている場合のみです。XMLRPC API 機能を利用できなくすることで対策を行っている環境について影響はございません。

また、XMLRPC API の脆弱性についてまだ対策を行っていない場合には早急に対策を行ってください。

お客様にはご迷惑をおかけいたしますこと、深くお詫び申し上げます。

影響を受けない環境

  • XMLRPC API における脆弱性について、XMLRPC API 機能を利用できなくすることで対策を行っている環境
  • PowerCMS クラウドの環境

影響を受ける環境

XMLRPC API を利用している場合の対策

修正ファイルをダウンロードして、ご利用の PowerCMS へ適用してください。

修正ファイルを適用できない場合、mt-xmlrpc.cgi へのアクセスを信頼のおけるアクセス元のみに限定したり HTTP 認証を設定するなどアクセスを制限してください。

XMLRPC API を利用していない場合の対策

XMLRPC API を利用していない場合、XMLRPC API 機能を利用できなくすることで対策が行えますが、PowerCMS を CGI/FastCGI/PSGI で利用しているかによってその方法が異なります。

PowerCMS を CGI/FastCGI で利用している場合

下記のファイルについて、サーバーからファイルを削除したりパーミッションを付与しないようにするなど、動作しないようにしてください。

  • mt-xmlrpc.cgi

※ PowerCMS の環境変数 XMLRPCScript を設定されている場合、mt-xmlrpc.cgi をリネームして利用されている可能性があり、リネーム後のファイルを見つけて対策を行ってください。

PowerCMS を PSGI で利用している場合

環境変数 RestrictedPSGIApp を設定し、XMLRPC アプリケーションを禁止してください。

RestrictedPSGIApp  xmlrpc

脆弱性を利用した攻撃を受けてしまった場合

脆弱性に対策を行う前に不正アクセスが行われている可能性が見られる場合には下記ページの内容を参考に調査・対応してください。

サポートサイト

サポートサイトへ初めてアクセスされる方は、お手数ですがまずサインアップを行ってください(ライセンスコードが必要です)。

更新日
2021年12月16日