【注意喚起】MovableTypeの脆弱性について

シックス・アパート社が提供する「Movable Type」の XMLRPC API に、OS コマンド・インジェクションの脆弱性が報告されております。遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。

※参考情報（IPA）

「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について（JVN#41119755）

【2021/11/9 】
悪質な攻撃が観測されており、見知らぬ PHP ファイルなどを設置されたり .htaccess を書き換えられてサイトの閲覧に影響が出るなどの被害が確認されています。対象となるのは Movable Type 4.0 以降、6.8.2 以前、7 r.5002、MTP 1.46 以前のすべてのバージョンです。対象のバージョンをご利用の方は、対策済の 7 r.5003、Movable Type Premium 1.47 もしくは 6.8.3 へのアップデート、または XMLRPC API へのアクセスを制限する対処を直ちに行なってください。

※参考情報（シックスアパート）

[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始（セキュリティアップデート）