グローバルナビゲーションへジャンプ
コンテンツへジャンプ
フッターへジャンプ

情報セキュリティ

「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について（JVN#41119755）

最終更新日：2021年12月20日

※最新情報は、JVN iPedia(JVN#41119755)をご覧ください。

概要

シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。「Movable Type」の XMLRPC API には、OS コマンド・インジェクションの脆弱性が存在します。
遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。

攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。

2021 年 11 月 5 日更新: 2021年11月5日現在、本脆弱性を悪用した攻撃が確認されているため、出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。

2021 年 11 月 9 日更新: 「Movable Type」をベースとした CMS である「PowerCMS」についても、本脆弱性の影響を受ける可能性があります。こちらも出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。

2021 年 12 月 16 日更新: 2021年12月16日、シックス・アパート株式会社は、2021年10月20日に公開したバージョンの修正が不十分であることが確認されたと発表しました。出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。

本脆弱性の深刻度

脆弱性の深刻度は共通脆弱性評価システムCVSS v3とCVSS v2に基づいて定めている。

CVSS v3に基づいた深刻度と基本値について
- 脆弱性のCVSS v3深刻度
- 脆弱性のCVSS v3基本値
CVSS v2に基づいた深刻度と基本値について
- 脆弱性のCVSS v2深刻度
- 脆弱性のCVSS v2基本値

本脆弱性のCVSS v3深刻度: 緊急

本脆弱性のCVSS v3基本値: 9.8

本脆弱性のCVSS v2深刻度: III（危険）

本脆弱性のCVSS v2基本値: 7.5

対象

次の製品が対象です。

Movable Type 7 r.5004 およびそれ以前 (Movable Type 7系)
Movable Type 6.8.4 およびそれ以前 (Movable Type 6系)
Movable Type Advanced 7 r.5004 およびそれ以前 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.4 およびそれ以前 (Movable Type Advanced 6系)
Movable Type Premium 1.48 およびそれ以前
Movable Type Premium Advanced 1.48 およびそれ以前

開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。

2021 年 12 月 16 日更新: 影響を受ける可能性があるバージョンを更新しました。

対策

アップデートする

開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

Movable Type 7 r.5005 (Movable Type 7系)
Movable Type 6.8.5 (Movable Type 6系)
Movable Type Advanced 7 r.5005 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.5 (Movable Type Advanced 6系)
Movable Type Premium 1.49
Movable Type Premium Advanced 1.49

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

[重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始（セキュリティアップデート）

2021 年 12 月 16 日更新: 修正済みのバージョン、およびリンクを更新しました。

ワークアラウンドを実施する

開発者によると、アップデートを適用できない場合には、Movable Type の設定ファイル mt-config.cgi に対して次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。

現在 XMLRPC API を利用していない、または今後 XMLRPC API を利用しない場合

mt-xmlrpc.cgi へのアクセスを、信頼できる接続元のみに制限する

CGI/FCGI として利用している場合

mt-xmlrpc.cgi を削除、またはパーミッションを削除する

PSGI で利用している場合

Movable Type (Advanced) 6.2 以降および Movable Type Premium (Advanced)
- mt-config.cgi に Movable Type 環境変数 RestrictedPSGIApp xmlrpc を設定する
Movable Type (Advanced) 5.2 から Movable Type (Advanced) 6.1 まで
- mt-config.cgi で使用する Movable Type 環境変数 XMLRPCScript に十分に複雑な文字列を設定する

継続して XMLRPC API を利用する場合

mt-xmlrpc.cgi へのアクセスを、信頼できる接続元のみに制限する

PSGI で利用している場合

mt-config.cgi で使用する Movable Type 環境変数 XMLRPCScript に十分に複雑な文字列を設定する

参考情報

Movable TypeのXMLRPC APIにおける脆弱性（CVE-2021-20837）に関する注意喚起
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始（セキュリティアップデート）
「情報セキュリティ早期警戒パートナーシップ」について
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください
- 脆弱性関連情報の届出受付

2021 年 11 月 5 日更新

【注意喚起】Movable Typeの脆弱性を狙う悪質な攻撃を観測、至急対策を！

2021 年 11 月 9 日更新

PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて (XMLRPC API における OS コマンド・インジェクションの脆弱性対策)

2021 年 11 月 24 日更新

PowerCMS の XMLRPC API における OS コマンドインジェクションの脆弱性

2021 年 12 月 16 日更新

[重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始（セキュリティアップデート）

2021 年 12 月 20 日更新

XMLRPC API おける OS コマンド・インジェクションの脆弱性 (JVN#17645965) 対策の修正ファイルについて

お問い合わせ先

IPA セキュリティセンター

E-mail

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。

更新履歴

2021年12月20日

参考情報を更新
2021年12月16日

概要、対象、対策、及び参考情報を更新
2021年11月24日

参考情報を追記
2021年11月9日

概要、及び参考情報を追記
2021年11月5日

概要、及び参考情報を追記
2021年10月20日

掲載