English
アーカイブ
「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)
最終更新日:2021年12月20日
※最新情報は、JVN iPedia(JVN#41119755)をご覧ください。
概要
シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。「Movable Type」の XMLRPC API には、OS コマンド・インジェクションの脆弱性が存在します。
遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。
攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。
- 2021 年 11 月 5 日 更新
-
2021年11月5日現在、本脆弱性を悪用した攻撃が確認されているため、出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。
- 2021 年 11 月 9 日 更新
-
「Movable Type」をベースとした CMS である「PowerCMS」についても、本脆弱性の影響を受ける可能性があります。こちらも出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。
- 2021 年 12 月 16 日 更新
-
2021年12月16日、シックス・アパート株式会社は、2021年10月20日に公開したバージョンの修正が不十分であることが確認されたと発表しました。出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。
本脆弱性の深刻度
脆弱性の深刻度は共通脆弱性評価システムCVSS v3とCVSS v2に基づいて定めている。
- CVSS v3に基づいた深刻度と基本値について
- CVSS v2に基づいた深刻度と基本値について
- 脆弱性のCVSS v2深刻度
- 脆弱性のCVSS v2基本値
- 本脆弱性のCVSS v3深刻度
-
緊急
- 本脆弱性のCVSS v3基本値
-
9.8
- 本脆弱性のCVSS v2深刻度
-
III(危険)
- 本脆弱性のCVSS v2基本値
-
7.5
対象
次の製品が対象です。
- Movable Type 7 r.5004 およびそれ以前 (Movable Type 7系)
- Movable Type 6.8.4 およびそれ以前 (Movable Type 6系)
- Movable Type Advanced 7 r.5004 およびそれ以前 (Movable Type Advanced 7系)
- Movable Type Advanced 6.8.4 およびそれ以前 (Movable Type Advanced 6系)
- Movable Type Premium 1.48 およびそれ以前
- Movable Type Premium Advanced 1.48 およびそれ以前
開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。
- 2021 年 12 月 16 日 更新
-
影響を受ける可能性があるバージョンを更新しました。
対策
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
- Movable Type 7 r.5005 (Movable Type 7系)
- Movable Type 6.8.5 (Movable Type 6系)
- Movable Type Advanced 7 r.5005 (Movable Type Advanced 7系)
- Movable Type Advanced 6.8.5 (Movable Type Advanced 6系)
- Movable Type Premium 1.49
- Movable Type Premium Advanced 1.49
詳しくは、開発者が提供する下記サイトの情報をご確認ください。
- 2021 年 12 月 16 日 更新
-
修正済みのバージョン、およびリンクを更新しました。
ワークアラウンドを実施する
開発者によると、アップデートを適用できない場合には、Movable Type の設定ファイル mt-config.cgi に対して次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。
現在 XMLRPC API を利用していない、または今後 XMLRPC API を利用しない場合
mt-xmlrpc.cgi へのアクセスを、信頼できる接続元のみに制限する
CGI/FCGI として利用している場合
- mt-xmlrpc.cgi を削除、またはパーミッションを削除する
PSGI で利用している場合
- Movable Type (Advanced) 6.2 以降および Movable Type Premium (Advanced)
- mt-config.cgi に Movable Type 環境変数 RestrictedPSGIApp xmlrpc を設定する
- Movable Type (Advanced) 5.2 から Movable Type (Advanced) 6.1 まで
- mt-config.cgi で使用する Movable Type 環境変数 XMLRPCScript に十分に複雑な文字列を設定する
継続して XMLRPC API を利用する場合
mt-xmlrpc.cgi へのアクセスを、信頼できる接続元のみに制限する
PSGI で利用している場合
- mt-config.cgi で使用する Movable Type 環境変数 XMLRPCScript に十分に複雑な文字列を設定する
参考情報
- Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起
- [重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
- 「情報セキュリティ早期警戒パートナーシップ」について
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください
- 2021 年 11 月 5 日 更新
- 2021 年 11 月 24 日 更新
- 2021 年 12 月 16 日 更新
- 2021 年 12 月 20 日 更新
お問い合わせ先
IPA セキュリティセンター
-
E-mail
※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。
更新履歴
-
2021年12月20日
参考情報を更新
-
2021年12月16日
概要、対象、対策、及び参考情報を更新
-
2021年11月24日
参考情報を追記
-
2021年11月9日
概要、及び参考情報を追記
-
2021年11月5日
概要、及び参考情報を追記
-
2021年10月20日
掲載