I. 概要
2022年8月24日、シックス・アパート株式会社はMovable TypeのXMLRPC APIのコマンドインジェクションの脆弱性に関する情報を公開しました。
本脆弱性が悪用されると、該当する製品が動作するシステムに細工したメッセージを送信されることで、任意のPerlスクリプトや任意のOSコマンドを実行される可能性があります。
参考:https://www.jpcert.or.jp/at/2022/at220022.html

シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html


II. 対象
本脆弱性の影響を受けるバージョンは次のとおりです。

– Movable Type 7 r.5202およびそれ以前(Movable Type 7系)
– Movable Type Advanced 7 r.5202およびそれ以前(Movable Type Advanced 7系)
– Movable Type 6.8.6およびそれ以前(Movable Type 6系)
– Movable Type Advanced 6.8.6およびそれ以前(Movable Type Advanced 6系)
– Movable Type Premium 1.52およびそれ以前
– Movable Type Premium Advanced 1.52およびそれ以前

開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。


III. 対策
シックス・アパート株式会社より、下記の本脆弱性を修正したバージョンが公開されています。
十分なテストを実施の上、修正済みバージョンの運用をご検討ください。

– Movable Type 7 r.5301(Movable Type 7)
– Movable Type Advanced 7 r.5301(Movable Type Advanced 7系)
– Movable Type 6.8.7(Movable Type 6系)
– Movable Type Advanced 6.8.7(Movable Type Advanced 6系)
– Movable Type Premium 1.53
– Movable Type Premium Advanced 1.53

詳細は、シックス・アパート株式会社からの更新情報を参照してください。

シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html


IV. 回避策
シックス・アパート株式会社から本脆弱性に対する回避策が公開されています。
次の回避策を適用することで、本脆弱性の影響を回避することが可能です。

– Movable TypeのXMLRPC API機能を無効化する


V. 参考情報

シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html

Japan Vulnerability Notes JVN#57728859
Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN57728859/