PowerCMS™

新着情報

ホーム > 新着情報 > PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API…

PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API における OS コマンド・インジェクションの脆弱性対策)

10月21日にご案内致しました XMLRPC API おける OS コマンド・インジェクションの脆弱性について対策のパッチを提供いたします。

サポートサイトの内容をご確認の上環境へ適用をお願いいたします。

お客様にはご迷惑をおかけいたしますこと、深くお詫び申し上げます。

影響を受けるバージョン

  • PowerCMS 5.19 / 4.49 /3.295 を含む以前のバージョン

※ サポートを終了しておりますバージョンについては記載しておりません。

XMLRPC API を利用していない場合の対策

PowerCMS を CGI/FastCGI で利用している場合

下記のファイルについて、サーバーからファイルを削除したりパーミッションを付与しないようにするなど、動作しないようにしてください。

  • mt-xmlrpc.cgi

※ PowerCMS の環境変数 XMLRPCScript を設定されている場合、mt-xmlrpc.cgi をリネームして利用されている可能性があり、リネーム後のファイルを見つけて対策を行ってください。

PowerCMS を PSGI で利用している場合

環境変数 RestrictedPSGIApp を設定し、XMLRPC アプリケーションを禁止してください。

RestrictedPSGIApp  xmlrpc

XMLRPC API を利用している場合の対策

修正ファイルをダウンロードして、ご利用の PowerCMS へ適用してください。

修正ファイルを適用できない場合、mt-xmlrpc.cgi へのアクセスを信頼のおけるアクセス元のみに限定したり HTTP 認証を設定するなどアクセスを制限してください。

サポートサイト

サポートサイトへ初めてアクセスされる方は、お手数ですがまずサインアップを行ってください(ライセンスコードが必要です)。

更新日
2021年10月22日