ケータイキット for Movable Typeの脆弱性を利用した攻撃に対応

2016/04/27
■ケータイキット for Movable Typeの脆弱性について
ケータイキット for Movable Typeには、OSコマンドインジェクションの脆弱性が存在します。上位コンポーネントによる外部からの影響がある入力を使用したOS コマンドの全部、もしくは一部を構築するソフトウェアにおいて、意図するOSコマンドの改ざん可能な要素を適切に無効化せずに下位コンポーネントに送信する際に発生する脆弱性です。
当該製品が動作しているサーバ上で任意のOSコマンドを実行される可能性があります。
アイデアマンズ株式会社による注意喚起
https://www.ideamans.com/release/20160422/

■クラウドWAF【攻撃遮断くん】の対応
攻撃遮断くんでは、今回発見された本脆弱性はすでに対応をしておりました。攻撃遮断くんをご利用いただいているWEBサイトにつきましては、本脆弱性によって実行される攻撃を受ける可能性はございません。
また、本攻撃はPOST通信で送られることが多い為POST通信をロギングして、攻撃遮断くんの監視対象として頂くことを推奨致します。