「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について（JVN#41119755）｜セキュリティ・脆弱性診断のことならピーエスシー

TOP
ニュース&トピックス
「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について（JVN#41119755）

Technical Term

【概要】

シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。「Movable Type」の XMLRPC API には、OS コマンド・インジェクションの脆弱性が存在します。
遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。

攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。

本脆弱性の深刻度

本脆弱性の深刻度	□ 注意	□ 警告	□ 重要	■ 緊急
本脆弱性のCVSS v3基本値				9.8

本脆弱性の深刻度	□ I（注意）	□ II（警告）	■ III（危険）
本脆弱性のCVSS v2基本値			7.5

【対象】

次の製品が対象です。

Movable Type 7 r.5002 およびそれ以前 (Movable Type 7系)
Movable Type 6.8.2 およびそれ以前 (Movable Type 6系)
Movable Type Advanced 7 r.5002 およびそれ以前 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.2 およびそれ以前 (Movable Type Advanced 6系)
Movable Type Premium 1.46 およびそれ以前
Movable Type Premium Advanced 1.46 およびそれ以前

開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。

【対策】

アップデートする

開発者が提供する情報をもとに、最新版へアップデートしてください。

開発者は、本脆弱性を修正した次のバージョンをリリースしています。

Movable Type 7 r.5003 (Movable Type 7系)
Movable Type 6.8.3 (Movable Type 6系)
Movable Type Advanced 7 r.5003 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.3 (Movable Type Advanced 6系)
Movable Type Premium 1.47
Movable Type Premium Advanced 1.47

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始（セキュリティアップデート）
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

ワークアラウンドを実施する

開発者によると、アップデートを適用できない場合には、Movable Type の設定ファイル mt-config.cgi に対して次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。

現在 XMLRPC API を利用していない、または今後 XMLRPC API を利用しない場合

mt-xmlrpc.cgi へのアクセスを、信頼できる接続元のみに制限する
CGI/FCGI として利用している場合

mt-xmlrpc.cgi を削除、またはパーミッションを削除する

PSGI で利用している場合

Movable Type (Advanced) 6.2 以降および Movable Type Premium (Advanced)

mt-config.cgi に Movable Type 環境変数 RestrictedPSGIApp xmlrpc を設定する

Movable Type (Advanced) 5.2 から Movable Type (Advanced) 6.1 まで

mt-config.cgi で使用する Movable Type 環境変数 XMLRPCScript に十分に複雑な文字列を設定する

継続して XMLRPC API を利用する場合

mt-xmlrpc.cgi へのアクセスを、信頼できる接続元のみに制限する
PSGI で利用している場合

mt-config.cgi で使用する Movable Type 環境変数 XMLRPCScript に十分に複雑な文字列を設定する

【参考情報】

Movable TypeのXMLRPC APIにおける脆弱性（CVE-2021-20837）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210047.html

[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始（セキュリティアップデート）
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

「情報セキュリティ早期警戒パートナーシップ」について
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください
https://www.ipa.go.jp/security/vuln/report/index.html

出典：独立行政法人情報処理推進機構(IPA)

一覧に戻る