PowerCMS の XMLRPC API に OS コマンドインジェクションの脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
PowerCMS 5.19 およびそれ以前のバージョン (PowerCMS 5系)
PowerCMS 4.49 およびそれ以前のバージョン (PowerCMS 4系)
PowerCMS 3.295 およびそれ以前のバージョン (PowerCMS 3系)
※開発者によると、既にサポート終了をした PowerCMS 2系以前のバージョンも本脆弱性の影響を受けるとのこと。
アルファサード株式会社が提供する PowerCMS の XMLRPC API には、OS コマンドインジェクションの脆弱性が存在し、遠隔の第三者によって任意の OS コマンドを実行される可能性がある。
対策方法はそれぞれ下記の通り。
●XMLRPC API を利用していない場合
・PowerCMS を CGI/FastCGI で利用している場合
mt-xmlrpc.cgi をサーバから削除、またはパーミッションを削除する
開発者は PowerCMS の環境変数 XMLRPCScript を設定している場合、mt-xmlrpc.cgi をリネームして利用している可能性があるため、リネーム後のファイルを見つけ、本対策を実施するよう呼び掛けている
・PowerCMS を PSGI で利用している場合
環境変数 RestrictedPSGIApp xmlrpc を設定し、XMLRPC アプリケーションを禁止する
●XMLRPC API を利用している場合
・開発者が提供する情報をもとに PowerCMS を最新版へアップグレードし、修正ファイルを適用する
・アップグレードと修正ファイルの適用ができない場合、mt-xmlrpc.cgi に対し、アクセス制限を実施することで本脆弱性の影響の軽減が可能
《ScanNetSecurity》