JPCERT/CCからMovable TypeのXMLRPC APIのコマンドインジェクションの
脆弱性に関する注意喚起が公開されました。

本脆弱性が悪用されると、該当する製品が動作するシステムに細工したメッセージを送信されることで、
任意のPerlスクリプトや任意のOSコマンドを実行される可能性があります。
詳細は下記URLをご確認ください。

JPCERT/CC　Movable TypeのXMLRPC APIの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220022.html

以下の、「3. 対象となるバージョン」をご利用の方

･ Movable Type 7 r.5202およびそれ以前（Movable Type 7系）
･ Movable Type Advanced 7 r.5202およびそれ以前（Movable Type Advanced 7系）
･ Movable Type 6.8.6およびそれ以前（Movable Type 6系）
･ Movable Type Advanced 6.8.6およびそれ以前（Movable Type Advanced 6系）
･ Movable Type Premium 1.52およびそれ以前
･ Movable Type Premium Advanced 1.52およびそれ以前

シックス・アパート社より、本脆弱性を修正したバージョンが公開されています。
十分なテストを実施の上、修正済みバージョンの運用をご検討ください。
詳細は下記URLをご確認ください。

セキュリティアップデート・最新バージョンプログラムの入手方法に関する情報
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html

Movable Typeを提供しているシックス・アパート株式会社から本脆弱性に対する回避策が公開されています。
次の回避策を適用することで、本脆弱性の影響を回避することが可能です。

･ Movable TypeのXMLRPC API機能を無効化する

全学ネットワークシステムでは本件に関する個別サポートを行っておりません。シックス・アパート社へ直接お問合せください。