【注意喚起】Movable TypeのXMLRPC APIの脆弱性に関する注意喚起

2022年8月24日南大沢日野荒川

※情報が更新されている可能性がありますので、最新情報は以下を参照ください。
https://www.jpcert.or.jp/at/2022/at220022.html
引用元: JPCERTコーディネーションセンター注意喚起

Movable TypeのXMLRPC APIの脆弱性に関する注意喚起がありました。

I. 概要
2022年8月24日、シックス・アパート株式会社はMovable TypeのXMLRPC APIの
コマンドインジェクションの脆弱性に関する情報を公開しました。本脆弱性が
悪用されると、該当する製品が動作するシステムに細工したメッセージを送信
されることで、任意のPerlスクリプトや任意のOSコマンドを実行される可能性が
あります。

シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始（セキュリティアップデート）
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html

II. 対象
本脆弱性の影響を受けるバージョンは次のとおりです。

- Movable Type 7 r.5202およびそれ以前（Movable Type 7系）
- Movable Type Advanced 7 r.5202およびそれ以前（Movable Type Advanced 7系）
- Movable Type 6.8.6およびそれ以前（Movable Type 6系）
- Movable Type Advanced 6.8.6およびそれ以前（Movable Type Advanced 6系）
- Movable Type Premium 1.52およびそれ以前
- Movable Type Premium Advanced 1.52およびそれ以前

開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0
以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。

III. 対策
シックス・アパート株式会社より、下記の本脆弱性を修正したバージョンが公
開されています。十分なテストを実施の上、修正済みバージョンの運用をご検
討ください。

- Movable Type 7 r.5301（Movable Type 7）
- Movable Type Advanced 7 r.5301（Movable Type Advanced 7系）
- Movable Type 6.8.7（Movable Type 6系）
- Movable Type Advanced 6.8.7（Movable Type Advanced 6系）
- Movable Type Premium 1.53
- Movable Type Premium Advanced 1.53

詳細は、シックス・アパート株式会社からの更新情報を参照してください。

IV. 回避策
シックス・アパート株式会社から本脆弱性に対する回避策が公開されています。
次の回避策を適用することで、本脆弱性の影響を回避することが可能です。

- Movable TypeのXMLRPC API機能を無効化する

V. 参考情報
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始（セキュリティアップデート）
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html

Japan Vulnerability Notes JVN#57728859
Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN57728859/

2022年度に戻る

ページ上部へ戻る