【重要】Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起

お客様各位

平素はATWインターネットサービスをご利用いただき誠にありがとうございます。

シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。
「Movable Type」の XMLRPC API には、OS コマンド・インジェクションの脆弱性(CVE-2021-20837)が存在します。
※2021年11月9日現在、本脆弱性を悪用した攻撃が確認されております。

脆弱性の詳細は下記を参照ください。
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html
https://jvn.jp/jp/JVN41119755/
https://www.jpcert.or.jp/at/2021/at210047.html

 

■対象となるバージョン
Movable Type 4.0 以上(Advanced、Premium も含む)が対象
「Movable Type」をベースとした CMS である「PowerCMS」についても、本脆弱性の影響を受ける可能性がある模様です。

当CMSをご利用中のお客様におきましては、本脆弱性を悪用した攻撃が確認されているため、出来るだけ早急に対策を実施してください。

 

【更新】 2021年12月16日追記
2021年12月16日、シックス・アパート株式会社は、2021年10月20日に公開したバージョンの修正が不十分であることが確認されたと発表し、本脆弱性を修正するバージョンを公開しました。

シックス・アパート株式会社
[重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/12/16-1400.html