情報セキュリティ

「Movable Type」の XMLRPC API におけるコマンド・インジェクションの脆弱性について(JVN#57728859)

最終更新日:2022年9月2日

 ※最新情報は、JVN iPedia(JVN#57728859)をご覧ください。

概要

シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。「Movable Type」の XMLRPC API には、コマンド・インジェクションの脆弱性が存在します。
遠隔の第三者によって、任意の Perl スクリプトを実行される可能性があります。その結果、任意の OS コマンドを実行される可能性があります。

攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。

2022 年 9 月 2 日 更新

「Movable Type」をベースとした CMS である「PowerCMS」についても、本脆弱性の影響を受ける可能性があります。こちらも出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。

本脆弱性の深刻度

脆弱性の深刻度は共通脆弱性評価システムCVSS v3とCVSS v2に基づいて定めている。

本脆弱性のCVSS v3深刻度

緊急

本脆弱性のCVSS v3基本値

9.8

本脆弱性のCVSS v2深刻度

III(危険)

本脆弱性のCVSS v2基本値

7.5

対象

次の製品が対象です。

  • Movable Type 7 r.5202 およびそれ以前 (Movable Type 7系)
  • Movable Type 6.8.6 およびそれ以前 (Movable Type 6系)
  • Movable Type Advanced 7 r.5202 およびそれ以前 (Movable Type Advanced 7系)
  • Movable Type Advanced 6.8.6 およびそれ以前 (Movable Type Advanced 6系)
  • Movable Type Premium 1.52 およびそれ以前
  • Movable Type Premium Advanced 1.52 およびそれ以前

開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。

対策

アップデートする

開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • Movable Type 7 r.5301 (Movable Type 7系)
  • Movable Type 6.8.7 (Movable Type 6系)
  • Movable Type Advanced 7 r.5301 (Movable Type Advanced 7系)
  • Movable Type Advanced 6.8.7 (Movable Type Advanced 6系)
  • Movable Type Premium 1.53
  • Movable Type Premium Advanced 1.53

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

ワークアラウンドを実施する

開発者によると、アップデートを適用できない場合には、Movable Type の XMLRPC API 機能を無効化することで、本脆弱性の影響を軽減することが可能とのことです。

参考情報

2022 年 9 月 2 日 更新

お問い合わせ先

IPA セキュリティセンター

  • E-mail

    vuln-inqアットマークipa.go.jp

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。

更新履歴

  • 2022年9月2日

    概要および参考情報を更新

  • 2022年8月24日

    掲載