- 2022年8月24日
- その他脆弱性情報
Movable TypeのXMLRPC APIにコマンドインジェクションの脆弱性
大手CMS「Movable Type」にコマンドインジェクションの脆弱性
本脆弱性を突いたサイバー攻撃が猛威を振る可能性がありますので注意喚起としてお知らせします。
※すぐアップデート出来なくてもMovable Type の XMLRPC API 機能を無効化することで回避することができます。
2022年8月24日(水)、シックス・アパート株式会社によりMovable TypeのXMLRPC APIを経由したコマンドインジェクション(CVE-2022-38078)の脆弱性が公表されました。
この脆弱性の危険度は「緊急」レベルであり攻撃が成立した場合、遠隔の第三者が任意のOSコマンドを実行する可能性を含んだ脆弱性となります。
したがって、攻撃者によりWebサーバー上の情報を改竄・窃取される恐れがあり、早急な対応が必要です。
修正バージョンとしてMovable Type 7 r.5301 の提供開始に伴い、Movable Type Premium および Movable Type Premium (Advanced Edition) 1.53 がリリースされています。
この脆弱性の影響を受けるMovable Typeを使用している方は、シックス・アパート社が公開している情報を確認し、対策を実施することを推奨します。
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
影響を受けるバージョン
下記のMovable Typeバージョンが影響を受けます。
- Movable Type 7 r.5202 およびそれ以前 (Movable Type 7系)
- Movable Type 6.8.6 およびそれ以前 (Movable Type 6系)
- Movable Type Advanced 7 r.5202 およびそれ以前 (Movable Type Advanced 7系)
- Movable Type Advanced 6.8.6 およびそれ以前 (Movable Type Advanced 6系)
- Movable Type Premium 1.52 およびそれ以前
- Movable Type Premium Advanced 1.52 およびそれ以前
- Movable Type 4.0 以上(Advanced、Premium も含む)
対策・対応について
最新版へのアップデートを推奨します。
シックス・アパート株式会社が本脆弱性を修正した次のバージョンをリリースしています。
- Movable Type 7 r.5301 (Movable Type 7系)
- Movable Type 6.8.7 (Movable Type 6系)
- Movable Type Advanced 7 r.5301 (Movable Type Advanced 7系)
- Movable Type Advanced 6.8.7 (Movable Type Advanced 6系)
- Movable Type Premium 1.53
- Movable Type Premium Advanced 1.53
参考情報
シックス・アパート株式会社
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
Japan Vulnerability Notes JVN#57728859
Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN57728859/
