■ケータイキット for Movable Typeの脆弱性について
ケータイキット for Movable Typeには、OSコマンドインジェクションの脆弱性が存在します。上位コンポーネントによる外部からの影響がある入力を使用したOS コマンドの全部、もしくは一部を構築するソフトウェアにおいて、意図するOSコマンドの改ざん可能な要素を適切に無効化せずに下位コンポーネントに送信する際に発生する脆弱性です。
当該製品が動作しているサーバ上で任意のOSコマンドを実行される可能性があります。
アイデアマンズ株式会社による注意喚起
https://www.ipa.go.jp/security/ciadr/vul/20160427-struts.html
■クラウドWAF【攻撃遮断くん】の対応
攻撃遮断くんでは、今回発見された本脆弱性はすでに対応をしておりました。攻撃遮断くんをご利用いただいているWEBサイトにつきましては、本脆弱性によって実行される攻撃を受ける可能性はございません。
また、本攻撃はPOST通信で送られることが多い為POST通信をロギングして、攻撃遮断くんの監視対象として頂くことを推奨致します。
