PowerCMS 5.19 / 4.49 / 3.295 向け修正ファイルについて (XMLRPC API における OS コマンド・インジェクション(JVN#17645965)の脆弱性対策)
XMLRPC API 機能について新たな脆弱性 (JVN#7602487) が存在することがわかりました。下記、最新のアナウンスを参照してください。 (2022年8月31日)
10月21日にご案内致しました XMLRPC API おける OS コマンド・インジェクション(JVN#17645965)の脆弱性について対策の修正ファイルを提供いたします。
11月25日、JVN に掲載されました内容も本件の脆弱性の件になります。XMLRPC API 機能について新たに脆弱性が見つかったわけではございませんので誤解されませんようお願いいたします。
サポートサイトの内容をご確認の上環境へ適用をお願いいたします。
お客様にはご迷惑をおかけいたしますこと、深くお詫び申し上げます。
影響を受けるバージョン
- PowerCMS 5.19 / 4.49 /3.295 を含む以前のバージョン
※ サポートを終了しておりますバージョンについては記載しておりません。
XMLRPC API を利用していない場合の対策
XMLRPC API を利用していない場合、XMLRPC API 機能を利用できなくすることで対策が行えますが、PowerCMS を CGI/FastCGI/PSGI で利用しているかによってその方法が異なります。
PowerCMS を CGI/FastCGI で利用している場合
下記のファイルについて、サーバーからファイルを削除したりパーミッションを付与しないようにするなど、動作しないようにしてください。
- mt-xmlrpc.cgi
※ PowerCMS の環境変数 XMLRPCScript を設定されている場合、mt-xmlrpc.cgi をリネームして利用されている可能性があり、リネーム後のファイルを見つけて対策を行ってください。
PowerCMS を PSGI で利用している場合
環境変数 RestrictedPSGIApp を設定し、XMLRPC API を禁止してください。
RestrictedPSGIApp xmlrpc
XMLRPC API を利用している場合の対策
12月16日、修正ファイルの内容について対策が不足していることがわかりましたため修正ファイルを差し替えました。
修正ファイルをダウンロードして、ご利用の PowerCMS へ適用してください。
修正ファイルを適用できない場合、mt-xmlrpc.cgi へのアクセスを信頼のおけるアクセス元のみに限定したり HTTP 認証を設定するなどアクセスを制限してください。
脆弱性を利用した攻撃を受けてしまった場合
脆弱性に対策を行う前に不正アクセスが行われている可能性が見られる場合には下記ページの内容を参考に調査・対応してください。
サポートサイト
サポートサイトへ初めてアクセスされる方は、お手数ですがまずサインアップを行ってください(ライセンスコードが必要です)。
