http://forums.modx.com/thread/80701/
本家開発チームより、MODX Evolutionの脆弱性についてアナウンスがありました。対策も同時に提示されていますので、取り急ぎ当フォーラムで告知いたします。
高い危険度を持つ脆弱性としてアナウンスされており、条件が該当する場合は早急な対応を行なうことをおすすめします。
2012年5月24日リリースの日本語版 MODX Evolution 1.0.6J-r2以降(r2含む)ではこの件について問題ありません。
●概要
MODX Evolutionパッケージに同梱されているForgot Manager Loginプラグインは、認証なしの管理画面アクセスを可能とする脆弱性があります。
●対象バージョン
日本語版 MODX Evolution 1.0.6J-r1以前の全バージョン(1.0.6J-r1含む)
本家版 MODx 0.9.0 から Evolution 1.0.6(最新版)までの全バージョン
ただしどちらも、プラグインのアップデートを行なっていない場合は、MODX本体のバージョンに関係なく全て対象となります。
※正確な情報
本件は、正確にはMODX Evolution本体の脆弱性ではなく、同梱されているForgot Manager Loginプラグインの脆弱性です。
Forgot Manager Loginプラグインのバージョンが1.1.5以前(1.1.5含む)の場合に、この脆弱性が有効となります。
Forgot Manager Loginプラグインは、MODx0.9.0を含めた全バージョンで利用可能です。
●解決方法
以下に示す方法のいずれかを行なってください。
- Forgot Manager Login プラグインを無効にする
- Forgot Manager Loginプラグインを1.1.6以上にアップデートする(最新版は1.0.7Jに同梱されている1.1.9)
- MODX Evolution を最新版にアップデートする
- 下記の記事に添付されている修正ツールを実行する(※推奨)