全てのバージョンの「Ajax Search」スニペットに脆弱性が発見されました。

2014年6月8日 01時33分 shortlink:http://modx.jp/?id=961

【6月9日19時追記】

MODXのバージョンや日本語版・英語版の違いに関係なく、AjaxSearchがインストールされている環境全てに脆弱性が存在します。国内でもすでに被害報告が寄せられており、一刻も早く対策を行なうことをおすすめします。

MODX Evolutionに添付されていたスニペット「Ajax Search」に、リモートコード実行の脆弱性が発見され、本家開発チームより対策と併せアナウンスされました。

詳細およびAjaxSearchのアップデート版は、下記フォーラムのポストにて確認可能です。
リモートスクリプト実行の脆弱性とその対策(本家版1.0.13以前及び日本語版1.0.5J-r1以前)

脆弱性の有無の判別方法

以下の環境の場合、今回の脆弱性が含まれます。

対策方法

対策方法としては、以下の3点が存在します。

注釈)
MODX 0.9系への1.0系用アップデートの適用は、トラブルの原因となる場合があります。
MODX本体のアップデートを推奨します。

詳細は、以下のフォーラムポスト(MODX Japan Forum)を参照してください。
http://forum.modx.jp/viewtopic.php?f=19&t=1388

補足

問題を解決するためには基本的にはAjaxSearchを削除するかアップデートする必要があります。今回見つかった脆弱性はMODX本体に含まれるindex-ajax.phpを経由して発現するものなので、index-ajax.phpを更新するだけでも対策を行なうことができます。

index-ajax.phpが持つ機能は単純です。AjaxSearchを削除またはアップデートする場合は、サイトの動作に影響を与える可能性があるため、直ちに判断することは難しいですが、index-ajax.phpを更新するだけなら安全です。

この件についての問い合わせ先

フォーラムの返信、もしくはコンタクトフォームよりお問い合わせください。

PR

  • KAGOYA
  • ASP at AKIHABARA Japan
  • CMS AWARDS 2007 Winner
ページトップへ