Movable TypeのXMLRPC APIに関する脆弱性について(2022/8/29)
1. 概要
JPCERT/CCからMovable TypeのXMLRPC APIのコマンドインジェクションの
脆弱性に関する注意喚起が公開されました。
本脆弱性が悪用されると、該当する製品が動作するシステムに細工したメッセージを送信されることで、
任意のPerlスクリプトや任意のOSコマンドを実行される可能性があります。
詳細は下記URLをご確認ください。
JPCERT/CC Movable TypeのXMLRPC APIの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220022.html
2. 対象者
以下の、「3. 対象となるバージョン」をご利用の方
3. 対象となるバージョン
・ Movable Type 7 r.5202およびそれ以前(Movable Type 7系)
・ Movable Type Advanced 7 r.5202およびそれ以前(Movable Type Advanced 7系)
・ Movable Type 6.8.6およびそれ以前(Movable Type 6系)
・ Movable Type Advanced 6.8.6およびそれ以前(Movable Type Advanced 6系)
・ Movable Type Premium 1.52およびそれ以前
・ Movable Type Premium Advanced 1.52およびそれ以前
4. 対策
シックス・アパート社より、本脆弱性を修正したバージョンが公開されています。
十分なテストを実施の上、修正済みバージョンの運用をご検討ください。
詳細は下記URLをご確認ください。
セキュリティアップデート・最新バージョンプログラムの入手方法に関する情報
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
5. 回避策
Movable Typeを提供しているシックス・アパート株式会社から本脆弱性に対する回避策が公開されています。
次の回避策を適用することで、本脆弱性の影響を回避することが可能です。
・ Movable TypeのXMLRPC API機能を無効化する
5. 本件に関する問い合わせ先
全学ネットワークシステムでは本件に関する個別サポートを行っておりません。シックス・アパート社へ直接お問合せください。