HOME情報セキュリティ更新:「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)

本文を印刷する

情報セキュリティ

更新:「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)

最終更新日:2021年11月24日

※最新情報は、JVN iPedia(JVN#41119755)をご覧ください。

概要

シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。「Movable Type」の XMLRPC API には、OS コマンド・インジェクションの脆弱性が存在します。
遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。

攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。

--- 2021 年 11 月 5 日 更新 ---

2021年11月5日現在、本脆弱性を悪用した攻撃が確認されているため、出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。

--- 2021 年 11 月 9 日 更新 ---

「Movable Type」をベースとした CMS である「PowerCMS」についても、本脆弱性の影響を受ける可能性があります。こちらも出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。

本脆弱性の深刻度

本脆弱性の深刻度 □ 注意 □ 警告 □ 重要 ■ 緊急
本脆弱性のCVSS v3基本値 9.8
本脆弱性の深刻度 □ I(注意) □ II(警告) ■ III(危険)
本脆弱性のCVSS v2基本値 7.5

対象

次の製品が対象です。

  • Movable Type 7 r.5002 およびそれ以前 (Movable Type 7系)
  • Movable Type 6.8.2 およびそれ以前 (Movable Type 6系)
  • Movable Type Advanced 7 r.5002 およびそれ以前 (Movable Type Advanced 7系)
  • Movable Type Advanced 6.8.2 およびそれ以前 (Movable Type Advanced 6系)
  • Movable Type Premium 1.46 およびそれ以前
  • Movable Type Premium Advanced 1.46 およびそれ以前
開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。

対策

アップデートする

    開発者が提供する情報をもとに、最新版へアップデートしてください。
    開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • Movable Type 7 r.5003 (Movable Type 7系)
  • Movable Type 6.8.3 (Movable Type 6系)
  • Movable Type Advanced 7 r.5003 (Movable Type Advanced 7系)
  • Movable Type Advanced 6.8.3 (Movable Type Advanced 6系)
  • Movable Type Premium 1.47
  • Movable Type Premium Advanced 1.47

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

  • [重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
    https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html別ウィンドウで開く



  • ワークアラウンドを実施する

      開発者によると、アップデートを適用できない場合には、Movable Type の設定ファイル mt-config.cgi に対して次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。

      • 現在 XMLRPC API を利用していない、または今後 XMLRPC API を利用しない場合
        • mt-xmlrpc.cgi へのアクセスを、信頼できる接続元のみに制限する
        • CGI/FCGI として利用している場合
          • mt-xmlrpc.cgi を削除、またはパーミッションを削除する
        • PSGI で利用している場合
          • Movable Type (Advanced) 6.2 以降および Movable Type Premium (Advanced)
            • mt-config.cgi に Movable Type 環境変数 RestrictedPSGIApp xmlrpc を設定する
          • Movable Type (Advanced) 5.2 から Movable Type (Advanced) 6.1 まで
            • mt-config.cgi で使用する Movable Type 環境変数 XMLRPCScript に十分に複雑な文字列を設定する
      • 継続して XMLRPC API を利用する場合
        • mt-xmlrpc.cgi へのアクセスを、信頼できる接続元のみに制限する
        • PSGI で利用している場合
          • mt-config.cgi で使用する Movable Type 環境変数 XMLRPCScript に十分に複雑な文字列を設定する

    参考情報

    本件に関するお問い合わせ先

    IPA セキュリティセンター

    E-mail:

    ※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。

    更新履歴

    2021年11月24日 参考情報を追記
    2021年11月9日 概要、及び参考情報を追記
    2021年11月5日 概要、及び参考情報を追記
    2021年10月20日 掲載