XML-RPC for PHPの脆弱性対応版に関する問題

XML-RPC for PHPに、任意のコードが実行できる脆弱性が6月30日に発見され、XOOPSやNucleusといった、PHPベースのCMSでは、それぞれの対応が取られました。
Nucleusでは、7月6日に脆弱性の問題を解決したXML-RPC for PHPがバンドルされたバージョン3.21がリリースされています。

この最新版のXML-RPC for PHPを使用するCMSに対して、DmBloggerの記事投稿系機能を使用する場合に、正常に動作しない問題が発見されました。
具体的な問題としては、「マイブログ設定、ブログ・カテゴリ更新に失敗する」、「投稿済タイトルの取得に失敗する(空の状態で取得される)」が挙げられます。

この問題の原因については、現在調査中ですが、XML-RPC for PHPの脆弱性のある(旧)バージョンと、解決した(新)バージョンでは、少なくともNucleusにおいて、違った形のXMLが送信され、それをDmBloggerが使用するRubyのXML-RPCライブラリが正常に受信できないという現象を確認しています。

旧バージョン

[xml]

url
https://inoccu.com/

[/xml]

新バージョン

[xml]

url


[/xml]

この問題に関するDmBloggerでの対応は、さらなる原因追求を含め、現在検討中です。

この記事を書いた人

井上 研一

経済産業省推進資格ITコーディネータ/ITエンジニア/ブロガー。
井上研一事務所代表、株式会社ビビンコ代表取締役、一般社団法人ITC-Pro東京理事。
北九州市出身、横浜市在住。 AIやIoTに強いITコーディネータとして活動中。著書に「初めてのWatson」、「ワトソンで体感する人工知能」など。セミナーや研修講師での登壇も多数。

この記事が気に入ったら
いいね!しよう

最新の情報をお届けします