JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は11月24日、「JVN#17645965: PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性」において、PowerCMSに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって遠隔から任意のOSコマンドを実行される危険性があるとされている。

脆弱性に関する情報は次のページにまとまっている。

  • JVN#17645965: PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性

    JVN#17645965: PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • PowerCMS 5.19 およびそれよりも前のバージョンバージョン (PowerCMS 5系)
  • PowerCMS 4.49 およびそれよりも前のバージョンバージョン (PowerCMS 4系)
  • PowerCMS 3.295 およびそれよりも前のバージョンバージョン (PowerCMS 3系)

サポートが終了したPowerCMS 2系以前のバージョンにもこの脆弱性が存在するとされている。脆弱性の深刻度は9.8で緊急(Critical)に分類されており注意が必要。JPCERT/CCは開発者の提供する情報にもとづいてアップデートや回避策を適用することを推奨している。