「Movable Type」のXMLRPC APIにOSコマンド・インジェクションの脆弱性、悪用した攻撃も確認 | ScanNetSecurity
2026.02.01(日)

「Movable Type」のXMLRPC APIにOSコマンド・インジェクションの脆弱性、悪用した攻撃も確認

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月5日、「Movable Type」のXMLRPC APIにおけるOSコマンド・インジェクションの脆弱性について発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性
255 views
facebookLINE
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月5日、「Movable Type」のXMLRPC APIにおけるOSコマンド・インジェクションの脆弱性について発表した。影響を受けるシステムは以下の通り。

Movable Type 7 r.5002 およびそれ以前 (Movable Type 7系)
Movable Type 6.8.2 およびそれ以前 (Movable Type 6系)
Movable Type Advanced 7 r.5002 およびそれ以前 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.2 およびそれ以前 (Movable Type Advanced 6系)
Movable Type Premium 1.46 およびそれ以前
Movable Type Premium Advanced 1.46 およびそれ以前

 シックス・アパート株式会社が提供するコンテンツ管理システム「Movable Type」のXMLRPC APIには、OSコマンド・インジェクションの脆弱性が存在し、遠隔の第三者によって任意のOSコマンドを実行される可能性がある。

 JPCERT/CCでは11月5日現在、本脆弱性を実証するコード(PoC)が公開され、10月27日から脆弱性の有無を調べる通信が、11月1日には脆弱な環境に不審ファイルを配置することを目的とした通信を株式会社ラックで観測しており、実際にファイルが配置される事例も確認している。

 IPA及びJPCERT/CCでは早急に、対策を実施するよう呼びかけている。

 なお、シックス・アパート株式会社では本脆弱性を修正した次のバージョンを公開している。

Movable Type 7 r.5003(Movable Type 7系)
Movable Type 6.8.3(Movable Type 6系)
Movable Type Advanced 7 r.5003(Movable Type Advanced 7系)
Movable Type Advanced 6.8.3(Movable Type Advanced 6系)
Movable Type Premium 1.47
Movable Type Premium Advanced 1.47

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 通行中の市民がごみステーションで生活保護受給者の申請書を発見

    通行中の市民がごみステーションで生活保護受給者の申請書を発見

  2. Amazon 人材流出 ついに AWS をダウンさせる

    Amazon 人材流出 ついに AWS をダウンさせる

  3. ソリトンシステムズ「準備はできている」~多要素認証ニーズの変化はサプライチェーンリスク対策

    ソリトンシステムズ「準備はできている」~多要素認証ニーズの変化はサプライチェーンリスク対策PR

  4. 15 億円の身代金要求した疑い セキュリティ企業の社員が自らランサムウェア仕掛けたか

    15 億円の身代金要求した疑い セキュリティ企業の社員が自らランサムウェア仕掛けたか

  5. ペネトレーションテスターが業務中に逮捕される、“信じられないほどの不手際が重なった” のか(The Register)

    ペネトレーションテスターが業務中に逮捕される、“信じられないほどの不手際が重なった” のか(The Register)

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP