PowerCMS の XMLRPC API に OS コマンドインジェクションの脆弱性 | ScanNetSecurity
2026.07.15(水)

PowerCMS の XMLRPC API に OS コマンドインジェクションの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

PowerCMS 5.19 およびそれ以前のバージョン (PowerCMS 5系)
PowerCMS 4.49 およびそれ以前のバージョン (PowerCMS 4系)
PowerCMS 3.295 およびそれ以前のバージョン (PowerCMS 3系)

※開発者によると、既にサポート終了をした PowerCMS 2系以前のバージョンも本脆弱性の影響を受けるとのこと。

 アルファサード株式会社が提供する PowerCMS の XMLRPC API には、OS コマンドインジェクションの脆弱性が存在し、遠隔の第三者によって任意の OS コマンドを実行される可能性がある。

 対策方法はそれぞれ下記の通り。

●XMLRPC API を利用していない場合
・PowerCMS を CGI/FastCGI で利用している場合
 mt-xmlrpc.cgi をサーバから削除、またはパーミッションを削除する
 開発者は PowerCMS の環境変数 XMLRPCScript を設定している場合、mt-xmlrpc.cgi をリネームして利用している可能性があるため、リネーム後のファイルを見つけ、本対策を実施するよう呼び掛けている

・PowerCMS を PSGI で利用している場合
 環境変数 RestrictedPSGIApp xmlrpc を設定し、XMLRPC アプリケーションを禁止する

●XMLRPC API を利用している場合
・開発者が提供する情報をもとに PowerCMS を最新版へアップグレードし、修正ファイルを適用する

・アップグレードと修正ファイルの適用ができない場合、mt-xmlrpc.cgi に対し、アクセス制限を実施することで本脆弱性の影響の軽減が可能

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

    村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

  2. 日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

    日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

  3. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  4. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  5. アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

    アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

ランキングをもっと見る
PageTop