「Movable Type」のXMLRPC APIにOSコマンド・インジェクションの脆弱性、悪用した攻撃も確認

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は11月5日、「Movable Type」のXMLRPC APIにおけるOSコマンド・インジェクションの脆弱性について発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威

2021.11.9 Tue 8:00

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は11月5日、「Movable Type」のXMLRPC APIにおけるOSコマンド・インジェクションの脆弱性について発表した。影響を受けるシステムは以下の通り。

Movable Type 7 r.5002 およびそれ以前 (Movable Type 7系)
Movable Type 6.8.2 およびそれ以前 (Movable Type 6系)
Movable Type Advanced 7 r.5002 およびそれ以前 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.2 およびそれ以前 (Movable Type Advanced 6系)
Movable Type Premium 1.46 およびそれ以前
Movable Type Premium Advanced 1.46 およびそれ以前

　シックス・アパート株式会社が提供するコンテンツ管理システム「Movable Type」のXMLRPC APIには、OSコマンド・インジェクションの脆弱性が存在し、遠隔の第三者によって任意のOSコマンドを実行される可能性がある。

　JPCERT/CCでは11月5日現在、本脆弱性を実証するコード（PoC）が公開され、10月27日から脆弱性の有無を調べる通信が、11月1日には脆弱な環境に不審ファイルを配置することを目的とした通信を株式会社ラックで観測しており、実際にファイルが配置される事例も確認している。

　IPA及びJPCERT/CCでは早急に、対策を実施するよう呼びかけている。

　なお、シックス・アパート株式会社では本脆弱性を修正した次のバージョンを公開している。

Movable Type 7 r.5003（Movable Type 7系）
Movable Type 6.8.3（Movable Type 6系）
Movable Type Advanced 7 r.5003（Movable Type Advanced 7系）
Movable Type Advanced 6.8.3（Movable Type Advanced 6系）
Movable Type Premium 1.47
Movable Type Premium Advanced 1.47

「Movable Type」のXMLRPC APIにOSコマンド・インジェクションの脆弱性、悪用した攻撃も確認

一次情報または関連リンク

関連記事