シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。「Movable Type」の XMLRPC API には、コマンド・インジェクションの脆弱性が存在します。

遠隔の第三者によって、任意の Perl スクリプトを実行される可能性があります。その結果、任意の OS コマンドを実行される可能性があります。

本脆弱性の深刻度	□ 注意	□ 警告	□ 重要	■ 緊急
本脆弱性のCVSS v3基本値				9.8

本脆弱性の深刻度	□ I（注意）	□ II（警告）	■ III（危険）
本脆弱性のCVSS v2基本値			7.5

次の製品が対象です。

• Movable Type 7 r.5202 およびそれ以前 (Movable Type 7系)
• Movable Type 6.8.6 およびそれ以前 (Movable Type 6系)
• Movable Type Advanced 7 r.5202 およびそれ以前 (Movable Type Advanced 7系)
• Movable Type Advanced 6.8.6 およびそれ以前 (Movable Type Advanced 6系)
• Movable Type Premium 1.52 およびそれ以前
• Movable Type Premium Advanced 1.52 およびそれ以前

開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。

開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

• Movable Type 7 r.5301 (Movable Type 7系)
• Movable Type 6.8.7 (Movable Type 6系)
• Movable Type Advanced 7 r.5301 (Movable Type Advanced 7系)
• Movable Type Advanced 6.8.7 (Movable Type Advanced 6系)
• Movable Type Premium 1.53
• Movable Type Premium Advanced 1.53

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

• [重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始（セキュリティアップデート）
  https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html

開発者によると、アップデートを適用できない場合には、Movable Type の XMLRPC API 機能を無効化することで、本脆弱性の影響を軽減することが可能とのことです。

• Movable TypeのXMLRPC APIの脆弱性に関する注意喚起
  https://www.jpcert.or.jp/at/2022/at220022.html

• [重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始（セキュリティアップデート）
  https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html

• 「情報セキュリティ早期警戒パートナーシップ」について
  この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください
  https://www.ipa.go.jp/security/vuln/report/index.html
  
  出典：独立行政法人情報処理推進機構(IPA)