XMLRPC API における OS コマンド・インジェクションの脆弱性について
XMLRPC API 機能について新たな脆弱性 (JVN#7602487) が存在することがわかりました。下記、最新のアナウンスを参照してください。 (2022年8月31日)
PowerCMS について XMLRPC API おける OS コマンド・インジェクションの脆弱性が存在することがわかり対応を進めております。
対応版については近日中にリリースを行う予定です。リリースを行うまでの間、下記の内容に従って対策をお願いいたします。対策については「PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API における OS コマンド・インジェクションの脆弱性対策)」を参照してください。
お客様にはご迷惑をおかけいたしますこと、深くお詫び申し上げます。
影響を受けるバージョン
- PowerCMS 5.19 / 4.49 /3.295 を含む以前のバージョン
※ サポートを終了しておりますバージョンについては記載しておりません。
対応版リリースまでの対策
脆弱性は XMLRPC API を利用されている場合にリスクがございます。XMLRPC API を利用できなくすることで対策が行えます。
PowerCMS を CGI/FastCGI で利用している場合
下記のファイルについて、サーバーからファイルを削除したりパーミッションを付与しないようにするなど、動作しないようにしてください。
- mt-xmlrpc.cgi
※ PowerCMS の環境変数 XMLRPCScript を設定されている場合、mt-xmlrpc.cgi をリネームして利用されている可能性があり、リネーム後のファイルを見つけて対策を行ってください。
PowerCMS を PSGI で利用している場合
環境変数 RestrictedPSGIApp を設定し、XMLRPC API を禁止してください。
RestrictedPSGIApp xmlrpc
なお、XMLRPC API を利用されていない場合、こちらの内容で対策が行えておりますので、対応版のリリースをお待ち頂く必要はございません。
