情報セキュリティ
最終更新日:2022年9月2日
※最新情報は、JVN iPedia(JVN#57728859)をご覧ください。
シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。「Movable Type」の XMLRPC API には、コマンド・インジェクションの脆弱性が存在します。
遠隔の第三者によって、任意の Perl スクリプトを実行される可能性があります。その結果、任意の OS コマンドを実行される可能性があります。
攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。
「Movable Type」をベースとした CMS である「PowerCMS」についても、本脆弱性の影響を受ける可能性があります。こちらも出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。
脆弱性の深刻度は共通脆弱性評価システムCVSS v3とCVSS v2に基づいて定めている。
緊急
9.8
III(危険)
7.5
次の製品が対象です。
開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
詳しくは、開発者が提供する下記サイトの情報をご確認ください。
開発者によると、アップデートを適用できない場合には、Movable Type の XMLRPC API 機能を無効化することで、本脆弱性の影響を軽減することが可能とのことです。
2022 年 9 月 2 日 更新
IPA セキュリティセンター
※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。
2022年9月2日
概要および参考情報を更新
2022年8月24日
掲載