全てのバージョンの「Ajax Search」スニペットに脆弱性が発見されました。

2014年6月8日 01時33分 shortlink：http://modx.jp/?id=961

【６月９日１９時追記】

MODXのバージョンや日本語版・英語版の違いに関係なく、AjaxSearchがインストールされている環境全てに脆弱性が存在します。国内でもすでに被害報告が寄せられており、一刻も早く対策を行なうことをおすすめします。

MODX Evolutionに添付されていたスニペット「Ajax Search」に、リモートコード実行の脆弱性が発見され、本家開発チームより対策と併せアナウンスされました。

以下の環境の場合、今回の脆弱性が含まれます。

対策方法としては、以下の３点が存在します。

AjaxSearchをディレクトリごと削除または最新版にアップデート
index-ajax.phpを削除（AjaxSearchスニペットを使用していない場合）または更新
MODX Evolutionを最新版にアップデート
※日本語版はAjaxSearchスニペットを同梱していないためAjaxSearch自体の修正は行ないません。

注釈）
MODX 0.9系への1.0系用アップデートの適用は、トラブルの原因となる場合があります。
MODX本体のアップデートを推奨します。

詳細は、以下のフォーラムポスト（MODX Japan Forum）を参照してください。
http://forum.modx.jp/viewtopic.php?f=19&t=1388

問題を解決するためには基本的にはAjaxSearchを削除するかアップデートする必要があります。今回見つかった脆弱性はMODX本体に含まれるindex-ajax.phpを経由して発現するものなので、index-ajax.phpを更新するだけでも対策を行なうことができます。

index-ajax.phpが持つ機能は単純です。AjaxSearchを削除またはアップデートする場合は、サイトの動作に影響を与える可能性があるため、直ちに判断することは難しいですが、index-ajax.phpを更新するだけなら安全です。

フォーラムの返信、もしくはコンタクトフォームよりお問い合わせください。