PowerCMS の XMLRPC API に OS コマンドインジェクションの脆弱性 | ScanNetSecurity
2021.11.27(土)

PowerCMS の XMLRPC API に OS コマンドインジェクションの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

PowerCMS 5.19 およびそれ以前のバージョン (PowerCMS 5系)
PowerCMS 4.49 およびそれ以前のバージョン (PowerCMS 4系)
PowerCMS 3.295 およびそれ以前のバージョン (PowerCMS 3系)

※開発者によると、既にサポート終了をした PowerCMS 2系以前のバージョンも本脆弱性の影響を受けるとのこと。

 アルファサード株式会社が提供する PowerCMS の XMLRPC API には、OS コマンドインジェクションの脆弱性が存在し、遠隔の第三者によって任意の OS コマンドを実行される可能性がある。

 対策方法はそれぞれ下記の通り。

●XMLRPC API を利用していない場合
・PowerCMS を CGI/FastCGI で利用している場合
 mt-xmlrpc.cgi をサーバから削除、またはパーミッションを削除する
 開発者は PowerCMS の環境変数 XMLRPCScript を設定している場合、mt-xmlrpc.cgi をリネームして利用している可能性があるため、リネーム後のファイルを見つけ、本対策を実施するよう呼び掛けている

・PowerCMS を PSGI で利用している場合
 環境変数 RestrictedPSGIApp xmlrpc を設定し、XMLRPC アプリケーションを禁止する

●XMLRPC API を利用している場合
・開発者が提供する情報をもとに PowerCMS を最新版へアップグレードし、修正ファイルを適用する

・アップグレードと修正ファイルの適用ができない場合、mt-xmlrpc.cgi に対し、アクセス制限を実施することで本脆弱性の影響の軽減が可能
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/8~11/30迄 創刊23周年記念価格提供中★★
★★10/8~11/30迄 創刊23周年記念価格提供中★★

2021年10月8日(金)~11月30日(火) の間 ScanNetSecurity 創刊23周年記念価格で提供。

×