Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起

 JPCERT/CCからの「Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2020-0047
JPCERT/CC
2021-10-20
<<< JPCERT/CC Alert 2021-10-20 >>>
Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210047.html

I.概要

2021年10月20日、シックス・アパート株式会社は、Movable TypeのXMLRPC APIにおけるOSコマンドインジェクションの脆弱性(CVE-2021-20837)に関する情報を公開しました。本脆弱性が悪用された場合、遠隔の第三者が、任意のOSコマンドを実行する可能性があります。

シックス・アパート株式会社

[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

影響を受けるMovable Typeを使用している場合、シックス・アパート株式会社が公開している情報を確認し、速やかに対策を適用することを推奨します。

II.対象

次のバージョンのMovable Typeが本脆弱性の影響を受けます。

– Movable Type 7 r.5002およびそれ以前(Movable Type 7系)

– Movable Type 6.8.2およびそれ以前(Movable Type 6系)
– Movable Type Advanced 7 r.5002およびそれ以前(Movable Type Advanced 7系)
– Movable Type Advanced 6.8.2およびそれ以前(Movable Type Advanced 6系)
– Movable Type Premium 1.46およびそれ以前
– Movable Type Premium Advanced 1.46およびそれ以前

開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。

III. 対策

シックス・アパート株式会社から本脆弱性を修正した次のバージョンが公開されています。速やかに対策の実施をご検討ください。

– Movable Type 7 r.5003(Movable Type 7系)

– Movable Type 6.8.3(Movable Type 6系)
– Movable Type Advanced 7 r.5003(Movable Type Advanced 7系)
– Movable Type Advanced 6.8.3(Movable Type Advanced 6系)
– Movable Type Premium 1.47
– Movable Type Premium Advanced 1.47

IV. 回避策

本脆弱性への早期対策実施が難しい場合、脆弱性を悪用する攻撃の影響を軽減するため、シックス・アパート株式会社より回避策が公開されています。
詳しくは、シックス・アパート株式会社が提供する情報をご確認ください。

V. 参考情報

シックス・アパート株式会社
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

Japan Vulnerability Notes JVN#41119755

Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN41119755/

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email:
https://www.jpcert.or.jp/