セキュリティエンジニアが気になったニュースまとめ 2021/11/29~12/5
最近話題になったセキュリティ関連のニュースから、CMSの脆弱性に関する記事を紹介します。
CMSとは、コンテンツ管理システム(Content Management System)の略称で、Webサイトの構築、管理を行うためのシステムを指します。CMSを利用する場合、Webサイト作成に関する専門的な知識が無くても、比較的容易にWebサイトを構築する事が可能になりますが、CMS本体のアップデートや、追加したプラグインの管理運用を疎かにすると、CMS本体やプラグインの脆弱性を利用されることで、ウイルス感染や個人情報の流出など、重大な被害を負う可能性があります。
・参考記事
「Movable Type 4」以降に深刻な脆弱性 – アップデートや回避策の実施を
https://www.security-next.com/130934
サイトが改ざん被害、残存した旧CMSの脆弱性が標的に – サンメディア
https://www.security-next.com/131558
「Movable Type」ベースの「PowerCMS」にも深刻な脆弱性
https://www.security-next.com/131899
2021/10/20
Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210047.html
2021年10月20日、シックス・アパート株式会社は、Movable TypeのXMLRPC APIにおけるOSコマンドインジェクションの脆弱性(CVE-2021-20837)に関する情報を公開しました。本脆弱性が悪用された場合、遠隔の第三者が、任意のOSコマンドを実行する可能性があります。
・影響を受けるバージョン
Movable Type 7 r.5002およびそれ以前(Movable Type 7系)
Movable Type 6.8.2およびそれ以前(Movable Type 6系)
Movable Type Advanced 7 r.5002およびそれ以前(Movable Type Advanced 7系)
Movable Type Advanced 6.8.2およびそれ以前(Movable Type Advanced 6系)
Movable Type Premium 1.46およびそれ以前
Movable Type Premium Advanced 1.46およびそれ以前
・本脆弱性を修正したバージョン
Movable Type 7 r.5003 (Movable Type 7系)
Movable Type 6.8.3 (Movable Type 6系)
Movable Type Advanced 7 r.5003 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.3 (Movable Type Advanced 6系)
Movable Type Premium 1.47
Movable Type Premium Advanced 1.47
・関連記事
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)【2021/12/1 追記】
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html
JVN#41119755 Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN41119755/
更新:「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)
https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html
「Movable Type」の「XMLRPC API」に「OSコマンドインジェクション」の脆弱性が存在することが報告されました。
本脆弱性を利用して、バックドアとして動作する不審なPHPファイルが配置される、「.htaccess」ファイルを書き換えられサイトの閲覧に影響が出るなどの被害が確認されていますので、早急にアップデートすることを推奨します。
2021/10/22
PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API における OS コマンド・インジェクションの脆弱性対策)
https://www.powercms.jp/news/release-patch-xmlrpc-api-202110.html
10月21日にご案内致しました XMLRPC API おける OS コマンド・インジェクションの脆弱性について対策のパッチを提供いたします。
サポートサイトの内容をご確認の上環境へ適用をお願いいたします。
・影響を受けるバージョン
PowerCMS 5.19 およびそれ以前のバージョン (PowerCMS 5系)
PowerCMS 4.49 およびそれ以前のバージョン (PowerCMS 4系)
PowerCMS 3.295 およびそれ以前のバージョン (PowerCMS 3系)
「PowerCMS」は、「Movable Type 6」をベースに独自開発されているCMSのため、「Movable Type」と同様に脆弱性の影響を受けています。
「XMLRPC API」の利用有無によって対策が異なるので、開発元の情報をもとに適宜対策する事を推奨します。
・関連記事
JVN#17645965 PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN17645965/
【3】PowerCMSのXMLRPC APIにOSコマンドインジェクションの脆弱性
https://www.jpcert.or.jp/wr/2021/wr214701.html#3
2021/11/25
OSコマンドインジェクション、不正なコードアップロードの脆弱性
https://basercms.net/security/JVN_81376414
baserCMSの管理画面に、固定ページプレビューにおけるOSコマンドインジェクションの脆弱性、また、DBレストアにおける不正なコードアップロードの脆弱性があります。
管理画面を不特定多数のユーザーに利用させている場合に対応が必要となる脆弱性です。対象となる方は、早急に新バージョンへアップデートをお願いします。
・関連記事
JVN#81376414 baserCMS における複数の脆弱性
https://jvn.jp/jp/JVN81376414/
【4】baserCMSに複数の脆弱性
https://www.jpcert.or.jp/wr/2021/wr214701.html#4
「管理画面を不特定多数のユーザーに利用させている場合に対応が必要」との記載がありますが、管理者権限でログイン可能なユーザによってのみ実行可能な脆弱性とのことです。
「Movable Type」と関係ありませんが、こちらも危険度の高い脆弱性である「OSコマンドインジェクション」が報告されています。
2021/12/02
JVN#09136401 WordPress 用プラグイン Advanced Custom Fields における複数の認証欠如の脆弱性
https://jvn.jp/jp/JVN09136401/index.html
Delicious Brains が提供する WordPress 用プラグイン Advanced Custom Fields には、データベース閲覧に関わる認証の欠如(CVE-2021-20865)、ユーザ一覧取得に関わる認証の欠如(CVE-2021-20866)、フィールドグループ移動に関わる認証の欠如(CVE-2021-20867)の脆弱性が存在する。
想定される影響としては、当該製品のユーザによって、データベース上のアクセス権限のないデータを閲覧される(CVE-2021-20865)、アクセス権限のない情報の一覧を窃取される(CVE-2021-20866)、利用権限のないフィールドグループの移動を行われる(CVE-2021-20867)可能性がある。
・影響を受けるバージョン
Advanced Custom Fields 5.11 より前のバージョン
Advanced Custom Fields Pro 5.11 より前のバージョン
・関連記事
Advanced Custom Fields
https://ja.wordpress.org/plugins/advanced-custom-fields/#developers
WordPress 用プラグイン Advanced Custom Fields に複数の認証欠如の脆弱性
https://scan.netsecurity.ne.jp/article/2021/12/06/46755.html
こちらはCMS本体の脆弱性ではなく、「WordPress」用プラグインの脆弱性となります。
「WordPress」は、国内外で利用者が多いオープンソースのCMSですが、様々な機能拡張のための数千個に及ぶプラグインに脆弱性が含まれているものも少なくありません。「WordPress」本体だけではなく、テーマ、プラグインのアップデートも適宜実施していく必要があります。
まとめ
今回はここ最近の「CMS」に関連した脆弱性情報をまとめました。
手軽にWebサイトを構築できるなど利便性の高いCMSですが、安全に運用するにはそれなりのコストが必要です。また、我々も含め、何かしらのWebコンテンツを提供する立場の人間は、常にセキュリティに関する情報のアンテナを立てつつ、能動的に情報収集を行っていくことが大切だと改めて認識した次第です。
担当:KK