シックス・アパート株式会社は2021年12月16日，脆弱性（CVE-2021-20837）に対応する追加修正を行った最新版として，Movable Type 7 r.5005，Movable Type 6.8.5，Movable Type Premium および Movable Type Premium (Advanced Edition) 1.49を公開した。

今回の追加修正版は，先日公開したMovable Type 7 r.5003 / 6.8.3 / Movable Type Premium 1.47（2021年10月20日公開）およびMovable Type 7 r.5004 / 6.8.4 ，Movable Type Premium 1.48（2021年12月1日公開）で対応しきれていなかった部分に対応したもの。

CVE-2021-20837は非常に深刻な脆弱性で，見知らぬPHPファイルなどの設置や.htaccess書き換えによるサイト閲覧妨害，また，それに伴う2次的攻撃など，さまざまな問題につながるもの。

現在，Movable Typeを使用されているユーザは利用しているバージョンを確認の上，至急，最新版へのアップデートの実施またはXMLRPC APIへのアクセス制限を推奨する。

対象となるバージョン

Movable Type 4.0 以降，Movable Type 7 r.5004，6.8.4 以前のすべてのバージョン。

• Movable Type 7 r.4207 - r.5004
• Movable Type 6.0.0 - 6.8.4
• Movable Type Advanced 7 r.4502 - r.5004
• Movable Type Advanced 6.0.2 - 6.8.4
• Movable Type Premium (Advanced Edition) 1.0 - 1.48

※Movable Typeクラウド版はすべての環境で本脆弱性の対策が完了。

※MovableType.netは，本脆弱性の影響はない。