Movable Type の XMLRPC API に OS コマンドインジェクションの脆弱性、攻撃時の影響大
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月21日、Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。
脆弱性と脅威
79views
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月21日、Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。Étienne Gervais 氏とCharl-Alexandre Le Brun 氏が報告を行っている。影響を受けるシステムは以下の通り。
Movable Type 7 r.5002 およびそれ以前 (Movable Type 7系) Movable Type 6.8.2 およびそれ以前 (Movable Type 6系) Movable Type Advanced 7 r.5002 およびそれ以前 (Movable Type Advanced 7系) Movable Type Advanced 6.8.2 およびそれ以前 (Movable Type Advanced 6系) Movable Type Premium 1.46 およびそれ以前 Movable Type Premium Advanced 1.46 およびそれ以前
シックス・アパート株式会社が提供する Movable Type の XMLRPC API には、OS コマンドインジェクションの脆弱性が存在し、Movable Type の XMLRPC API に細工したメッセージを POST メソッドで送信することで、任意の OS コマンドが実行される可能性がある。
Movable Type 7 r.5003 (Movable Type 7系) Movable Type 6.8.3 (Movable Type 6系) Movable Type Advanced 7 r.5003 (Movable Type Advanced 7系) Movable Type Advanced 6.8.3 (Movable Type Advanced 6系) Movable Type Premium 1.47 Movable Type Premium Advanced 1.47
またシックス・アパートでは、古い Movable Type を利用していてアップデートがすぐに行えない場合は、下記の方法で脆弱性の影響を回避、軽減できると案内している。
