PowerCMS の XMLRPC API に OS コマンドインジェクションの脆弱性 | ScanNetSecurity
2026.01.13(火)

PowerCMS の XMLRPC API に OS コマンドインジェクションの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
32 views
facebookLINE
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

PowerCMS 5.19 およびそれ以前のバージョン (PowerCMS 5系)
PowerCMS 4.49 およびそれ以前のバージョン (PowerCMS 4系)
PowerCMS 3.295 およびそれ以前のバージョン (PowerCMS 3系)

※開発者によると、既にサポート終了をした PowerCMS 2系以前のバージョンも本脆弱性の影響を受けるとのこと。

 アルファサード株式会社が提供する PowerCMS の XMLRPC API には、OS コマンドインジェクションの脆弱性が存在し、遠隔の第三者によって任意の OS コマンドを実行される可能性がある。

 対策方法はそれぞれ下記の通り。

●XMLRPC API を利用していない場合
・PowerCMS を CGI/FastCGI で利用している場合
 mt-xmlrpc.cgi をサーバから削除、またはパーミッションを削除する
 開発者は PowerCMS の環境変数 XMLRPCScript を設定している場合、mt-xmlrpc.cgi をリネームして利用している可能性があるため、リネーム後のファイルを見つけ、本対策を実施するよう呼び掛けている

・PowerCMS を PSGI で利用している場合
 環境変数 RestrictedPSGIApp xmlrpc を設定し、XMLRPC アプリケーションを禁止する

●XMLRPC API を利用している場合
・開発者が提供する情報をもとに PowerCMS を最新版へアップグレードし、修正ファイルを適用する

・アップグレードと修正ファイルの適用ができない場合、mt-xmlrpc.cgi に対し、アクセス制限を実施することで本脆弱性の影響の軽減が可能

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. EmEditor「公式サイトからダウンロードしたお客様が被害に遭われた点に重い責任を感じて」いる

    EmEditor「公式サイトからダウンロードしたお客様が被害に遭われた点に重い責任を感じて」いる

  2. 「攻撃者の高い執念が感じられ」る 日本語版 EmEditor Web サイトのリンク改変

    「攻撃者の高い執念が感じられ」る 日本語版 EmEditor Web サイトのリンク改変

  3. セキュリティインシデント経験企業の 10 %が 10 億円以上の甚大な経済的損失

    セキュリティインシデント経験企業の 10 %が 10 億円以上の甚大な経済的損失

  4. [Internet Week 2016] 厳選セキュリティセッション 第3回 「実践インシデント対応 ~事故から学ぶ~ 」 日本シーサート協議会 庄司 朋隆 氏

    [Internet Week 2016] 厳選セキュリティセッション 第3回 「実践インシデント対応 ~事故から学ぶ~ 」 日本シーサート協議会 庄司 朋隆 氏

  5. 人気米Youtuberが約4億円で購入した「ポケモンカード」、包装に改ざん跡

    人気米Youtuberが約4億円で購入した「ポケモンカード」、包装に改ざん跡

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP