お知らせ

Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起

 2021年10月20日に公開されたMovable TypeのXMLRPC APIに存在するリモートから悪用可能な脆弱性(CVE-2021-20837)は、10月26日頃に概念実証コード(PoC)が公開されています。

Movable TypeのXMLRPC APIには、任意のOSコマンド実行が可能な脆弱性(CVE-2021-20837)があります。
本脆弱性の悪用を目的とした特別なリクエストを受け取った場合に、OSコマンドが実行され、様々な被害を受ける可能性があります。

脆弱性の影響を受ける可能性のあるバージョンは以下の通りです。

Movable Type 7 r.5003 より前のバージョン
Movable Type Advanced 7 r.5003 より前のバージョン
Movable Type 6.8.3 より前のバージョン
Movable Type Advanced 6.8.3 より前のバージョン
Movable Type Premium 1.47 より前のバージョン
Movable Type Premium Advanced 1.47 より前のバージョン
開発者によると、サポートを終了したバージョンを含むMovable Type 4.0以上(Advanced、Premiumも含む)が影響を受けます。

詳しくは、以下のサイトをご覧ください。

https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html?_fsi=XEjaI2ue
https://www.jpcert.or.jp/at/2021/at210047.html

 脆弱性(CVE-2021-20837)の発表からかなり日にちが経過いたしましたが、ウイルネットのお客様でもお客様がMovable Typeをご利用中でかなりのサイトが改ざんされてしまいました。強制的にmt-xmlrpc.cgi へのWEBアクセスを制限させて頂きました。

ページ上部へ戻る