comment 0

XML-RPC for PHPの脆弱性対応版に関する問題

XML-RPC for PHPに、任意のコードが実行できる脆弱性が6月30日に発見され、XOOPSやNucleusといった、PHPベースのCMSでは、それぞれの対応が取られました。
Nucleusでは、7月6日に脆弱性の問題を解決したXML-RPC for PHPがバンドルされたバージョン3.21がリリースされています。

この最新版のXML-RPC for PHPを使用するCMSに対して、DmBloggerの記事投稿系機能を使用する場合に、正常に動作しない問題が発見されました。
具体的な問題としては、「マイブログ設定、ブログ・カテゴリ更新に失敗する」、「投稿済タイトルの取得に失敗する(空の状態で取得される)」が挙げられます。

この問題の原因については、現在調査中ですが、XML-RPC for PHPの脆弱性のある(旧)バージョンと、解決した(新)バージョンでは、少なくともNucleusにおいて、違った形のXMLが送信され、それをDmBloggerが使用するRubyのXML-RPCライブラリが正常に受信できないという現象を確認しています。

旧バージョン

[xml]

url
https://inoccu.com/

[/xml]

新バージョン

[xml]

url


[/xml]

この問題に関するDmBloggerでの対応は、さらなる原因追求を含め、現在検討中です。

Follow me!

Filed under: ブログ

About the Author

Posted by

経済産業省推進資格ITコーディネータ/ITエンジニア。井上研一事務所代表、株式会社ビビンコ代表取締役。北九州市出身、横浜市在住。 2000年よりプログラマ・SEとして企業の業務システム開発に従事し、2012年に独立。AIやIoTに強いITコーディネータとしても活動中。著書に「初めてのWatson」、「ワトソンで体感する人工知能」など。セミナーや研修講師での登壇も多数。

コメントを残す