お客様各位
平素はATWインターネットサービスをご利用いただき誠にありがとうございます。
シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。
「Movable Type」の XMLRPC API には、OS コマンド・インジェクションの脆弱性(CVE-2021-20837)が存在します。
※2021年11月9日現在、本脆弱性を悪用した攻撃が確認されております。
脆弱性の詳細は下記を参照ください。
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html
https://jvn.jp/jp/JVN41119755/
https://www.jpcert.or.jp/at/2021/at210047.html
■対象となるバージョン
Movable Type 4.0 以上(Advanced、Premium も含む)が対象
「Movable Type」をベースとした CMS である「PowerCMS」についても、本脆弱性の影響を受ける可能性がある模様です。
当CMSをご利用中のお客様におきましては、本脆弱性を悪用した攻撃が確認されているため、出来るだけ早急に対策を実施してください。
【更新】 2021年12月16日追記
2021年12月16日、シックス・アパート株式会社は、2021年10月20日に公開したバージョンの修正が不十分であることが確認されたと発表し、本脆弱性を修正するバージョンを公開しました。
シックス・アパート株式会社
[重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/12/16-1400.html
