オープンソースCMSの「MODx」に複数の脆弱性：権限奪取や改ざんの恐れ

MODxにクロスサイトスクリプティングやSQLインジェクションなど複数の脆弱性が見つかった。

[ITmedia]

　オープソースのコンテンツ管理システム「MODx」に権限奪取や任意のコード実行などにつながる可能性のある複数の脆弱性が見つかり、情報処理推進機構（IPA）セキュリティセンターとJPCERT コーディネーションセンターが1月9日に情報を公開した。

　見つかった脆弱性は、複数のクロスサイトスクリプティング（XSS）とクロスサイトリクエストフォージェリ（CSRF）、SQLインジェクション。XSSとSQLインジェクションの脆弱性はMODx 0.9.6.2以前のバージョン、CSRFの脆弱性はMODx 0.9.6.1p2以前のバージョンにそれぞれ存在する。

　これらの脆弱性が悪用されると、リモートからのコード実行やコンテンツの改ざん、管理者権限奪取などの被害を受ける可能性がある。

　開発者コミュニティーのMODx CMSは、脆弱性に対処したMODx 0.9.6.3を公開し、ユーザーにアップデートを促している。また、JPCERT コーディネーションセンターではCSRFへの対処策として、アップデート後に管理画面でRefererチェックのデフォルト設定を「いいえ」から「はい」に変更するようにアドバイスしている。

過去のセキュリティニュース一覧はこちら