JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は11月24日、「JVN#17645965: PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性」において、PowerCMSに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって遠隔から任意のOSコマンドを実行される危険性があるとされている。
脆弱性に関する情報は次のページにまとまっている。
-
JVN#17645965: PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- PowerCMS 5.19 およびそれよりも前のバージョンバージョン (PowerCMS 5系)
- PowerCMS 4.49 およびそれよりも前のバージョンバージョン (PowerCMS 4系)
- PowerCMS 3.295 およびそれよりも前のバージョンバージョン (PowerCMS 3系)
サポートが終了したPowerCMS 2系以前のバージョンにもこの脆弱性が存在するとされている。脆弱性の深刻度は9.8で緊急(Critical)に分類されており注意が必要。JPCERT/CCは開発者の提供する情報にもとづいてアップデートや回避策を適用することを推奨している。
