情報セキュリティ
最終更新日:2021年12月20日
※最新情報は、JVN iPedia(JVN#41119755)をご覧ください。
シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。「Movable Type」の XMLRPC API には、OS コマンド・インジェクションの脆弱性が存在します。
遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。
攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。
2021年11月5日現在、本脆弱性を悪用した攻撃が確認されているため、出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。
「Movable Type」をベースとした CMS である「PowerCMS」についても、本脆弱性の影響を受ける可能性があります。こちらも出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。
2021年12月16日、シックス・アパート株式会社は、2021年10月20日に公開したバージョンの修正が不十分であることが確認されたと発表しました。出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。
脆弱性の深刻度は共通脆弱性評価システムCVSS v3とCVSS v2に基づいて定めている。
緊急
9.8
III(危険)
7.5
次の製品が対象です。
開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。
影響を受ける可能性があるバージョンを更新しました。
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
詳しくは、開発者が提供する下記サイトの情報をご確認ください。
修正済みのバージョン、およびリンクを更新しました。
開発者によると、アップデートを適用できない場合には、Movable Type の設定ファイル mt-config.cgi に対して次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。
IPA セキュリティセンター
※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。
2021年12月20日
参考情報を更新
2021年12月16日
概要、対象、対策、及び参考情報を更新
2021年11月24日
参考情報を追記
2021年11月9日
概要、及び参考情報を追記
2021年11月5日
概要、及び参考情報を追記
2021年10月20日
掲載