2022/08/25

【重要】CMS「Movable type 4.0 以上(Advanced、Premium も含む)」における緊急性の高い脆弱性について

平素は当サービスをご利用いただき誠にありがとうございます。

このたび、CMS「Movable type 4.0 以上(Advanced、Premium も含む)」にて
緊急性の高いセキュリティ上の問題(脆弱性)が確認され、
提供元より脆弱性対策の施された修正版(Movable Type 7 r.5301、Movable Type 6.8.7、Movable Type Premium 1.53)がリリースされました。

当サービスにおいても「Movable type」をご利用のお客様がいらっしゃるためご案内いたします。

古いバージョンの「Movable type」を使用されているお客様におかれましては、
必ず、最新バージョン(Movable Type 7 r.5301、6.8.7及びPremium 1.53)へのアップデートを行ってくださいますようお願いいたします。

また、既にMovable Typeを利用していないものの、インストールされたデータが残っている方は
ファイルマネージャー等から削除をお願いいたします。

詳細につきましては下記をご参照ください。

----------------------------------------------------------------------
■脆弱性を確認したプラグイン
 すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョン
 (2022年8月25日現在「Movable Type 7 r.5301、Movable Type 6.8.7、Movable Type Premium 1.53」が最新版)

■脆弱性の影響
 遠隔の第三者によって、任意の Perlスクリプトを実行される可能性があります。その結果、任意の OSコマンドを実行される可能性があります。

 ◇詳細について(外部サイト)
  [重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)

■対応方法(アップデート方法)
 シックス・アパート株式会社から本脆弱性を修正したバージョンが公開されています。
 上記サイトより情報をご確認いただき、
 可能な限り速やかにバージョンアップを行ってください。

 本脆弱性に限らず、CMSやプラグインなどプログラムをご利用のお客様は
 セキュリティ上の観点から、最新版へのアップデートを行い、
 プログラムを最新の状態に保つようご協力をお願いいたします。
 
 なお、速やかにバージョンアップが行えない場合には
 XMLRPC API機能を無効化することで影響を回避・軽減することが可能となります。
 対応方法など詳細については、上記サイトよりご確認ください。
----------------------------------------------------------------------

弊社では、今後もお客様に安心してサービスをご利用いただけるよう、
機能の改善やセキュリティ強化に努めてまいります。

今後とも当サービスをよろしくお願い申し上げます。