JVN#57728859 および JPCERT-AT-2022-0022 で注意喚起されているコマンドインジェクションの脆弱性について
下記、最新のアナウンスを参照してください。 (2022年8月31日)
現在、JVN#57728859 および JPCERT-AT-2022-0022 で注意喚起されているコマンドインジェクションの脆弱性について多くの問い合わせを頂いております。
こちらの脆弱性における PowerCMS への影響の有無などお知らせいたします。
影響を受けない環境
- 過去に XMLRPC API における脆弱性がアナウンスされた際に、XMLRPC API 機能を利用できなくすることで対策を行っている環境
- PowerCMS バージョン 6.00 / 5.20 / 4.50 以上 (※1)
- PowerCMS クラウドの環境 (※2)
脆弱性の対象は XMLRPC API 機能ですので、当該機能の利用を制限されている場合に影響はありません。
※1 これら以降のバージョンでは mt-xmlrpc.cgi の同梱を終了しております
※2 PowerCMS クラウドの全環境では XMLRPC API 機能の利用を制限しております
影響を受ける環境
「影響を受けない環境」以外への影響の有無を現在調査中です。
下記、最新のアナウンスを参照してください。 (2022年8月31日)
対応版リリースまでの対策
XMLRPC API 機能を利用されている場合、PowerCMS への影響の有無および対策が明らかになるまで XMLRPC API 機能をできなくすることで対策を行ってください。
また、XMLRPC API 機能を利用していなくても利用できる状態にある場合、XMLRPC API を利用できなくして対策を行ってください。
PowerCMS を CGI/FastCGI で利用している場合
下記のファイルについて、サーバーからファイルを削除したりパーミッションを付与しないようにするなど、動作しないようにしてください。
- mt-xmlrpc.cgi
※ PowerCMS の環境変数 XMLRPCScript を設定されている場合、mt-xmlrpc.cgi をリネームして利用されている可能性があり、リネーム後のファイルを見つけて対策を行ってください。
PowerCMS を PSGI で利用している場合
環境変数 RestrictedPSGIApp を設定し、XMLRPC API を禁止してください。
RestrictedPSGIApp xmlrpc
なお、XMLRPC API を利用されていない場合、こちらの内容で対策が行えておりますので、対応版のリリースをお待ち頂く必要はございません。
