IPA/「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性】

2021年10月21日

省庁・団体名

独立行政法人情報処理推進機構

内容

　IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2021 年 10 月 20 日に「『Movable Type』の XMLRPC API におけるOS コマンド・インジェクションの脆弱性を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要
・シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。
・「Movable Type」の XMLRPC API には、OS コマンド・インジェクションの脆弱性が存在します。
・遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、2021 年 10 月 8 日に IPA が JPCERT/CC 経由で製品開発者自身から届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちら をご覧ください。
※もしくは、https://jvn.jp/jp/ から「JVN#41119755」を参照

本件に関するお問合せ先

IPA セキュリティセンター
E-mail：vuln-inq@ipa.go.jp

一般社団法人JPCERTコーディネーションセンター
E-mail：vultures@jpcert.or.jp

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。