Movable Type の XMLRPC API に OS コマンドインジェクションの脆弱性 | ScanNetSecurity
2022.01.25(火)

Movable Type の XMLRPC API に OS コマンドインジェクションの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月16日、Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月16日、Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。Étienne Gervais 氏、Charl-Alexandre Le Brun 氏、Chatwork株式会社が報告を行っている。影響を受けるシステムは以下の通り。

Movable Type 7 r.5004 およびそれ以前 (Movable Type 7系)
Movable Type 6.8.4 およびそれ以前 (Movable Type 6系)
Movable Type Advanced 7 r.5004 およびそれ以前 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.4 およびそれ以前 (Movable Type Advanced 6系)
Movable Type Premium 1.48 およびそれ以前
Movable Type Premium Advanced 1.48 およびそれ以前
※サポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョン

 シックス・アパート株式会社が提供する Movable Type の XMLRPC API には、OS コマンドインジェクションの脆弱性が存在し、想定される影響としては、Movable Type の XMLRPC API に細工したメッセージを POST メソッドで送信することで、遠隔の第三者によって任意の OS コマンドが実行可能となる。

 JVNによると、2021年11月10日時点で本脆弱性の実証コードの公開と本脆弱性を悪用した攻撃を確認している。

 シックス・アパートでは本脆弱性を修正した次のバージョンをリリースしており、最新版へのアップデートを呼びかけている。

Movable Type 7 r.5005 (Movable Type 7系)
Movable Type 6.8.5 (Movable Type 6系)
Movable Type Advanced 7 r.5005 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.5 (Movable Type Advanced 6系)
Movable Type Premium 1.49
Movable Type Premium Advanced 1.49

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×