2021年11月8日

シックス・アパート株式会社は、Movable TypeのXMLRPC APIにおけるOSコマンドインジェクションの脆弱性(CVE-2021-20837)に関する情報を公開しました。
こちらの脆弱性が悪用された場合、遠隔操作で第三者による任意のOSコマンドを実行させられる可能性があります。

対象バージョン

- Movable Type 7 r.5002およびそれ以前(Movable Type 7系)
- Movable Type 6.8.2およびそれ以前(Movable Type 6系)
- Movable Type Advanced 7 r.5002およびそれ以前(Movable Type Advanced 7系)
- Movable Type Advanced 6.8.2およびそれ以前(Movable Type Advanced 6系)
- Movable Type Premium 1.46およびそれ以前
- Movable Type Premium Advanced 1.46およびそれ以前

対策について

CMSのバージョンアップによる対策が求められています。

- Movable Type 7 r.5003(Movable Type 7系)
- Movable Type 6.8.3(Movable Type 6系)
- Movable Type Advanced 7 r.5003(Movable Type Advanced 7系)
- Movable Type Advanced 6.8.3(Movable Type Advanced 6系)
- Movable Type Premium 1.47
- Movable Type Premium Advanced 1.47