平素は当社サービスをご利用いただき誠にありがとうございます。
「Movable Type」について、 2021/10/20 にリリースしたセキュリティアップデートにおける
XMLRPC API への OS コマンドインジェクションの脆弱性への修正が不十分であることがわかりました。
脆弱性への対策として Movable Type 7 r.5005、Movable Type 6.8.5、Movable Type Premium および
Movable Type Premium (Advanced Edition) 1.49 をリリースするとのことです。
セキュリティに関する修正となりますので、必ずアップデートをお願いします。
詳しくは下記サイトをご参照くださいますでしょうか。
◆[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)【2021/12/16 追記】
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html
2021年11月26日 案内内容
————————————————————
2021年11月上旬より、不正アクセスのお問い合わせを多数いただいていおります。
「Movable Type」では、以下の脆弱性があることが報告されております。
「Movable Type」をご利用のお客様は、ご注意ください。
2021年10月20日、シックス・アパート株式会社は、Movable TypeのXMLRPC APIにおける
OSコマンドインジェクションの脆弱性(CVE-2021-20837)に関する情報を公開しました。
本脆弱性が悪用された場合、遠隔の第三者が、任意のOSコマンドを実行する可能性があります。
攻撃が行われた場合の影響が大きい問題ですので
製品開発者が提供する情報をもとに、早急に対策を実施くださいますようお願いいたします。
詳しくは下記サイトをご参照くださいますでしょうか。
◆更新:「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)
https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html
今回の脆弱性に関する内容と対策方法につきましては、当社では
サポートしておりませんので、シックス・アパート株式会社様までお問い合わせください。