JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月24日、「JVN#57728859: Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性」において、シックス・アパートが提供しているCMS製品「Movable Type」に脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムにおいて任意のPerlスクリプトを実行される危険性がある。

  • JVN#57728859: Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性

    JVN#57728859: Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Movable Type 7 r.5202 およびそれより前のバージョン (Movable Type 7系)
  • Movable Type Advanced 7 r.5202 およびそれより前のバージョン (Movable Type Advanced 7系)
  • Movable Type 6.8.6 およびそれより前のバージョン (Movable Type 6系)
  • Movable Type Advanced 6.8.6 およびそれより前のバージョン (Movable Type Advanced 6系)
  • Movable Type Premium 1.52 およびそれより前のバージョン
  • Movable Type Premium Advanced 1.52 およびそれより前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Movable Type 7 r.5301 (Movable Type 7系)
  • Movable Type Advanced 7 r.5301 (Movable Type Advanced 7系)
  • Movable Type 6.8.7 (Movable Type 6系)
  • Movable Type Advanced 6.8.7 (Movable Type Advanced 6系)
  • Movable Type Premium 1.53
  • Movable Type Premium Advancedn 1.53