PowerCMS™
XMLRPC API におけるコマンド・インジェクションの脆弱性対策 (JVN#7602487) を追加しました。
[ブログ] PowerCMS 6 でのアップデートまとめ を追加しました。
[よくあるご質問] PowerCMS の各データが持つ ID を任意の値に指定したり変更できますか? を追加しました。
[ブログ] PowerSync のアップデート予定についてのお知らせ を追加しました。

新着情報

ホーム > 新着情報 > XMLRPC API における OS コマンド・インジェクションの脆弱性について

XMLRPC API における OS コマンド・インジェクションの脆弱性について

XMLRPC API 機能について新たな脆弱性 (JVN#7602487) が存在することがわかりました。下記、最新のアナウンスを参照してください。 (2022年8月31日)

PowerCMS について XMLRPC API おける OS コマンド・インジェクションの脆弱性が存在することがわかり対応を進めております。

対応版については近日中にリリースを行う予定です。リリースを行うまでの間、下記の内容に従って対策をお願いいたします。対策については「PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API における OS コマンド・インジェクションの脆弱性対策)」を参照してください。

お客様にはご迷惑をおかけいたしますこと、深くお詫び申し上げます。

影響を受けるバージョン

  • PowerCMS 5.19 / 4.49 /3.295 を含む以前のバージョン

※ サポートを終了しておりますバージョンについては記載しておりません。

対応版リリースまでの対策

脆弱性は XMLRPC API を利用されている場合にリスクがございます。XMLRPC API を利用できなくすることで対策が行えます。

PowerCMS を CGI/FastCGI で利用している場合

下記のファイルについて、サーバーからファイルを削除したりパーミッションを付与しないようにするなど、動作しないようにしてください。

  • mt-xmlrpc.cgi

※ PowerCMS の環境変数 XMLRPCScript を設定されている場合、mt-xmlrpc.cgi をリネームして利用されている可能性があり、リネーム後のファイルを見つけて対策を行ってください。

PowerCMS を PSGI で利用している場合

環境変数 RestrictedPSGIApp を設定し、XMLRPC API を禁止してください。

RestrictedPSGIApp  xmlrpc

なお、XMLRPC API を利用されていない場合、こちらの内容で対策が行えておりますので、対応版のリリースをお待ち頂く必要はございません。

更新日
2021年10月21日