PowerCMS™
2025年1月1日購入分よりライセンスの価格を改定いたします。
[ブログ] PowerCMS 6 でのアップデートまとめ を追加しました。
[ブログ] PowerCMS サポートの実績 (2024年10月) を追加しました。
[よくあるご質問] スマートフォンでは使えない機能がありますか? を追加しました。

新着情報

ホーム > 新着情報 > XML-RPC API おける OS コマンド・インジェクションの脆弱性 (JVN#17645965…

XML-RPC API おける OS コマンド・インジェクションの脆弱性 (JVN#17645965) 対策の修正ファイルについて

XML-RPC API 機能について新たな脆弱性 (JVN#7602487) が存在することがわかりました。下記、最新のアナウンスを参照してください。 (2022年8月31日)

10月22日に公開致しました XML-RPC API おける OS コマンド・インジェクションの脆弱性 (JVN#17645965) への修正ファイルについて、対策が不足していることがわかりました。

不十分であったケースについて対策を行った修正ファイルを提供いたします。

なお、不十分であったのは修正ファイルによる対策を行っている場合のみです。XML-RPC API 機能を利用できなくすることで対策を行っている環境について影響はございません。

また、XML-RPC API の脆弱性についてまだ対策を行っていない場合には早急に対策を行ってください。

お客様にはご迷惑をおかけいたしますこと、深くお詫び申し上げます。

影響を受けない環境

  • XML-RPC API における脆弱性について、XML-RPC API 機能を利用できなくすることで対策を行っている環境
  • PowerCMS クラウドの環境

影響を受ける環境

XML-RPC API を利用している場合の対策

修正ファイルをダウンロードして、ご利用の PowerCMS へ適用してください。

修正ファイルを適用できない場合、mt-xmlrpc.cgi へのアクセスを信頼のおけるアクセス元のみに限定したり HTTP 認証を設定するなどアクセスを制限してください。

XML-RPC API を利用していない場合の対策

XML-RPC API を利用していない場合、XML-RPC API 機能を利用できなくすることで対策が行えますが、PowerCMS を CGI/FastCGI/PSGI で利用しているかによってその方法が異なります。

PowerCMS を CGI/FastCGI で利用している場合

下記のファイルについて、サーバーからファイルを削除したりパーミッションを付与しないようにするなど、動作しないようにしてください。

  • mt-xmlrpc.cgi

※ PowerCMS の環境変数 XMLRPCScript を設定されている場合、mt-xmlrpc.cgi をリネームして利用されている可能性があり、リネーム後のファイルを見つけて対策を行ってください。

PowerCMS を PSGI で利用している場合

環境変数 RestrictedPSGIApp を設定し、XMLRPC アプリケーションを禁止してください。

RestrictedPSGIApp  xmlrpc

脆弱性を利用した攻撃を受けてしまった場合

脆弱性に対策を行う前に不正アクセスが行われている可能性が見られる場合には下記ページの内容を参考に調査・対応してください。

サポートサイト

サポートサイトへ初めてアクセスされる方は、お手数ですがまずサインアップを行ってください(ライセンスコードが必要です)。

公開日
2021年12月16日
更新日
2024年3月14日