独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月16日、Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。Étienne Gervais 氏、Charl-Alexandre Le Brun 氏、Chatwork株式会社が報告を行っている。影響を受けるシステムは以下の通り。
Movable Type 7 r.5004 およびそれ以前 (Movable Type 7系)
Movable Type 6.8.4 およびそれ以前 (Movable Type 6系)
Movable Type Advanced 7 r.5004 およびそれ以前 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.4 およびそれ以前 (Movable Type Advanced 6系)
Movable Type Premium 1.48 およびそれ以前
Movable Type Premium Advanced 1.48 およびそれ以前
※サポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョン
シックス・アパート株式会社が提供する Movable Type の XMLRPC API には、OS コマンドインジェクションの脆弱性が存在し、想定される影響としては、Movable Type の XMLRPC API に細工したメッセージを POST メソッドで送信することで、遠隔の第三者によって任意の OS コマンドが実行可能となる。
JVNによると、2021年11月10日時点で本脆弱性の実証コードの公開と本脆弱性を悪用した攻撃を確認している。
シックス・アパートでは本脆弱性を修正した次のバージョンをリリースしており、最新版へのアップデートを呼びかけている。
Movable Type 7 r.5005 (Movable Type 7系)
Movable Type 6.8.5 (Movable Type 6系)
Movable Type Advanced 7 r.5005 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.5 (Movable Type Advanced 6系)
Movable Type Premium 1.49
Movable Type Premium Advanced 1.49
