Movable Type の XMLRPC API にコマンドインジェクションの脆弱性 | ScanNetSecurity
2025.12.04(木)

Movable Type の XMLRPC API にコマンドインジェクションの脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月24日、Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
363 views
facebookLINE

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月24日、Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。大阪経済大学が製品開発者に報告を、ほぼ同時期に株式会社ブロードバンドセキュリティの志賀拓馬氏がIPAに報告を行っている。影響を受けるシステムは以下の通り。

Movable Type 7 r.5202 およびそれ以前 (Movable Type 7系)
Movable Type Advanced 7 r.5202 およびそれ以前 (Movable Type Advanced 7系)
Movable Type 6.8.6 およびそれ以前 (Movable Type 6系)
Movable Type Advanced 6.8.6 およびそれ以前 (Movable Type Advanced 6系)
Movable Type Premium 1.52 およびそれ以前
Movable Type Premium Advanced 1.52 およびそれ以前
※すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョンが本脆弱性の影響を受ける

 シックス・アパート株式会社が提供する Movable Type の XMLRPC API には、コマンドインジェクションの脆弱性が存在し、Movable Type の XMLRPC API に細工したメッセージを POST メソッドで送信することで、任意の Perl スクリプトを実行可能で、その結果、任意の OS コマンドの実行を実行される可能性がある。なお開発者によると、本脆弱性を悪用してもコマンドの引数に任意の値を与えて実行することはできないとのこと。

 JVNでは、シックス・アパートが提供する情報をもとに最新版へアップデートするか、Movable Type の XMLRPC API 機能を無効化する回避策を適用するよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. テインへのランサムウェア攻撃、子会社の中国工場が 1 週間稼働を停止

    テインへのランサムウェア攻撃、子会社の中国工場が 1 週間稼働を停止

  2. 期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

    期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

  3. 流出先での営業活動が新たに判明 ~ ヤマト運輸の元従業員による情報不正持ち出し

    流出先での営業活動が新たに判明 ~ ヤマト運輸の元従業員による情報不正持ち出し

  4. 大企業における VPN 時代の終焉ほか ~ Zscaler 2026年サイバーセキュリティトレンド

    大企業における VPN 時代の終焉ほか ~ Zscaler 2026年サイバーセキュリティトレンド

  5. 感染が確認された機器は一部サーバに限定 ~ ユーザックシステムへのランサムウェア攻撃

    感染が確認された機器は一部サーバに限定 ~ ユーザックシステムへのランサムウェア攻撃

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP