Movable Type の XMLRPC API にコマンドインジェクションの脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は8月24日、Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。大阪経済大学が製品開発者に報告を、ほぼ同時期に株式会社ブロードバンドセキュリティの志賀拓馬氏がIPAに報告を行っている。影響を受けるシステムは以下の通り。

Movable Type 7 r.5202 およびそれ以前 (Movable Type 7系)
Movable Type Advanced 7 r.5202 およびそれ以前 (Movable Type Advanced 7系)
Movable Type 6.8.6 およびそれ以前 (Movable Type 6系)
Movable Type Advanced 6.8.6 およびそれ以前 (Movable Type Advanced 6系)
Movable Type Premium 1.52 およびそれ以前
Movable Type Premium Advanced 1.52 およびそれ以前
※すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョンが本脆弱性の影響を受ける

　シックス・アパート株式会社が提供する Movable Type の XMLRPC API には、コマンドインジェクションの脆弱性が存在し、Movable Type の XMLRPC API に細工したメッセージを POST メソッドで送信することで、任意の Perl スクリプトを実行可能で、その結果、任意の OS コマンドの実行を実行される可能性がある。なお開発者によると、本脆弱性を悪用してもコマンドの引数に任意の値を与えて実行することはできないとのこと。

　JVNでは、シックス・アパートが提供する情報をもとに最新版へアップデートするか、Movable Type の XMLRPC API 機能を無効化する回避策を適用するよう呼びかけている。