PowerCMS の XMLRPC API に OS コマンドインジェクションの脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は11月24日、PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2021.11.26 Fri 8:00

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は11月24日、PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

PowerCMS 5.19 およびそれ以前のバージョン (PowerCMS 5系)
PowerCMS 4.49 およびそれ以前のバージョン (PowerCMS 4系)
PowerCMS 3.295 およびそれ以前のバージョン (PowerCMS 3系)

※開発者によると、既にサポート終了をした PowerCMS 2系以前のバージョンも本脆弱性の影響を受けるとのこと。

　アルファサード株式会社が提供する PowerCMS の XMLRPC API には、OS コマンドインジェクションの脆弱性が存在し、遠隔の第三者によって任意の OS コマンドを実行される可能性がある。

　対策方法はそれぞれ下記の通り。

●XMLRPC API を利用していない場合
・PowerCMS を CGI/FastCGI で利用している場合
　mt-xmlrpc.cgi をサーバから削除、またはパーミッションを削除する
　開発者は PowerCMS の環境変数 XMLRPCScript を設定している場合、mt-xmlrpc.cgi をリネームして利用している可能性があるため、リネーム後のファイルを見つけ、本対策を実施するよう呼び掛けている

・PowerCMS を PSGI で利用している場合
　環境変数 RestrictedPSGIApp xmlrpc を設定し、XMLRPC アプリケーションを禁止する

●XMLRPC API を利用している場合
・開発者が提供する情報をもとに PowerCMS を最新版へアップグレードし、修正ファイルを適用する

・アップグレードと修正ファイルの適用ができない場合、mt-xmlrpc.cgi に対し、アクセス制限を実施することで本脆弱性の影響の軽減が可能

《ScanNetSecurity》