JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は10月20日、「JVN#41119755: Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性」において、シックス・アパートが提供するCMSプラットフォーム「Movable Type」に脆弱性が報告されていると伝えた。この脆弱性を悪用されると、リモートの攻撃者によって影響を受けたシステム上で任意のOSコマンドを実行される危険性がある。
この脆弱性はMovable Typeで提供されているXMLRPC APIにおいて発見されたもので、CVE-2021-20837として追跡されている。このAPIに対して細工されたPOSTメッセージを送信することによって任意のコマンドを実行できる、いわゆるOSコマンドインジェクションの脆弱性に該当する。影響を受けるプロダクトおよびバージョンは以下のとおりとなっている。
- Movable Type 7 r.5002 およびそれ以前 (Movable Type 7系)
- Movable Type 6.8.2 およびそれ以前 (Movable Type 6系)
- Movable Type Advanced 7 r.5002 およびそれ以前 (Movable Type Advanced 7系)
- Movable Type Advanced 6.8.2 およびそれ以前 (Movable Type Advanced 6系)
- Movable Type Premium 1.46 およびそれ以前
- Movable Type Premium Advanced 1.46 およびそれ以前
それぞれ、次のバージョンにアップデートすることで脆弱性の影響を回避することができる。
- Movable Type 7 r.5003 (Movable Type 7系)
- Movable Type 6.8.3 (Movable Type 6系)
- Movable Type Advanced 7 r.5003 (Movable Type Advanced 7系)
- Movable Type Advanced 6.8.3 (Movable Type Advanced 6系)
- Movable Type Premium 1.47
- Movable Type Premium Advanced 1.47
もし何らかの理由によってすぐにアップデートを適用できない場合には、mt-config.cgiに対して指定された回避策を実施することで影響を緩和できるという。具体的なアップデートの方法、および一時的な回避策の実施手順については、JPCERT/CCによるアドバイザリか、またはシックス・アパートによる次の告知ページを参照のこと。
CVE-2021-20837のCVSS v3ベーススコアは9.8で、深刻度は5段階中で最も高い「Critical(緊急)」に分類されており、早急にアップデートを適用することが推奨されている。