Movable TypeのXMLRPC APIに再びコマンド・インジェクションの脆弱性
公開日:
2022年8月24日、Movable Typeを提供するシックスアパート株式会社は、Movable TypeのXMLRPC APIに再びコマンド・インジェクションの脆弱性が見つかったとして、これが修正されたMovable Type 7 r.5301をリリースした。
CVSS v3スコアは9.8(緊急)。
「Movable Type」の XMLRPC API におけるコマンド・インジェクションの脆弱性について(JVN#57728859)IPA 独立行政法人 情報処理推進機構
対象となるMovable Typeのバージョン
Movable Type 7 r.5202 およびそれ以前 (Movable Type 7系)
Movable Type 6.8.6 およびそれ以前 (Movable Type 6系)
Movable Type Advanced 7 r.5202 およびそれ以前 (Movable Type Advanced 7系)
Movable Type Advanced 6.8.6 およびそれ以前 (Movable Type Advanced 6系)
Movable Type Premium 1.52 およびそれ以前
Movable Type Premium Advanced 1.52 およびそれ以前
Movable Typeで繰り返されるXMLRPC APIの脆弱性
国内でのユーザーが多いCMS、Movable Typeは、昨年10月にXMLRPC API を経由した OS コマンドインジェクションの脆弱性が見つかり、これを修正したMovable Type 7 r.5003をリリースした。
が、12月16日にこの修正が不十分だったとして再度Movable Type 7 r.5005をリリース。
XMLRPC APIの脆弱性が修正されるのは、この10か月で3度目となるが、これまでの修正版を使っているユーザーも今回の脆弱性への対応が求められる。
なお同社はこの2日前にサイバー保険の取り扱いを開始したと発表している。
関連記事
カテゴリ:セキュリティニュース
タグ: