PowerCMS™

新着情報

ホーム > 新着情報 > XMLRPC API における OS コマンド・インジェクションの脆弱性について

XMLRPC API における OS コマンド・インジェクションの脆弱性について

※ 対策については「PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API における OS コマンド・インジェクションの脆弱性対策)」を参照してください。

PowerCMS について XMLRPC API おける OS コマンド・インジェクションの脆弱性が存在することがわかり対応を進めております。

対応版については近日中にリリースを行う予定です。リリースを行うまでの間、下記の内容に従って対策をお願いいたします。

お客様にはご迷惑をおかけいたしますこと、深くお詫び申し上げます。

影響を受けるバージョン

  • PowerCMS 5.19 / 4.49 /3.295 を含む以前のバージョン

※ サポートを終了しておりますバージョンについては記載しておりません。

対応版リリースまでの対策

脆弱性は XMLRPC API を利用されている場合にリスクがございます。サーバーからファイルを削除したりパーミッションを与えない、など下記のファイルを動作しなくすることで対策が行えます。

  • mt-xmlrpc.cgi

PowerCMS の環境変数 XMLRPCScript を設定されている場合、mt-xmlrpc.cgi をリネームして利用されている可能性があり、リネーム後のファイルを見つけて対策を行ってください。

なお、XMLRPC API を利用されていない場合、こちらの内容で対策が行えておりますので、対応版のリリースをお待ち頂く必要はございません。

更新日
2021年10月21日