-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2022-0022
                                                             JPCERT/CC
                                                            2022-08-24

                  <<< JPCERT/CC Alert 2022-08-24 >>>

         Movable TypeのXMLRPC APIの脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2022/at220022.html


I. 概要
2022年8月24日、シックス・アパート株式会社はMovable TypeのXMLRPC APIの
コマンドインジェクションの脆弱性に関する情報を公開しました。本脆弱性が
悪用されると、該当する製品が動作するシステムに細工したメッセージを送信
されることで、任意のPerlスクリプトや任意のOSコマンドを実行される可能性が
あります。

    シックス・アパート株式会社
    [重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始（セキュリティアップデート）
    https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html


II. 対象
本脆弱性の影響を受けるバージョンは次のとおりです。

  - Movable Type 7 r.5202およびそれ以前（Movable Type 7系）
  - Movable Type Advanced 7 r.5202およびそれ以前（Movable Type Advanced 7系）
  - Movable Type 6.8.6およびそれ以前（Movable Type 6系）
  - Movable Type Advanced 6.8.6およびそれ以前（Movable Type Advanced 6系）
  - Movable Type Premium 1.52およびそれ以前
  - Movable Type Premium Advanced 1.52およびそれ以前

開発者によると、すでにサポート終了をしたバージョンを含む、Movable Type 4.0
以降のすべてのバージョンが本脆弱性の影響を受けるとのことです。


III. 対策
シックス・アパート株式会社より、下記の本脆弱性を修正したバージョンが公
開されています。十分なテストを実施の上、修正済みバージョンの運用をご検
討ください。

  - Movable Type 7 r.5301（Movable Type 7）
  - Movable Type Advanced 7 r.5301（Movable Type Advanced 7系）
  - Movable Type 6.8.7（Movable Type 6系）
  - Movable Type Advanced 6.8.7（Movable Type Advanced 6系）
  - Movable Type Premium 1.53
  - Movable Type Premium Advanced 1.53

詳細は、シックス・アパート株式会社からの更新情報を参照してください。

    シックス・アパート株式会社
    [重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始（セキュリティアップデート）
    https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html


IV. 回避策
シックス・アパート株式会社から本脆弱性に対する回避策が公開されています。
次の回避策を適用することで、本脆弱性の影響を回避することが可能です。 

  - Movable TypeのXMLRPC API機能を無効化する


V. 参考情報
    シックス・アパート株式会社
    [重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始（セキュリティアップデート）
    https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html

    Japan Vulnerability Notes JVN#57728859
    Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性
    https://jvn.jp/jp/JVN57728859/


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp



-----BEGIN PGP SIGNATURE-----
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=xWq6
-----END PGP SIGNATURE-----