シックス・アパート株式会社は2021年12月16日、脆弱性（CVE-2021-20837）に対応する追加修正を行った最新版として、Movable Type 7 r.5005、Movable Type 6.8.5、Movable Type Premium および Movable Type Premium (Advanced Edition) 1.49を公開した。

今回の追加修正版は、先日公開したMovable Type 7 r.5003 / 6.8.3 / Movable Type Premium 1.47（2021年10月20日公開）およびMovable Type 7 r.5004 / 6.8.4 、Movable Type Premium 1.48（2021年12月1日公開）で対応しきれていなかった部分に対応したもの。

CVE-2021-20837は非常に深刻な脆弱性で、見知らぬPHPファイルなどの設置や.htaccess書き換えによるサイト閲覧妨害、また、それに伴う2次的攻撃など、さまざまな問題につながるもの。

現在、Movable Typeを使用されているユーザは利用しているバージョンを確認の上、至急、最新版へのアップデートの実施またはXMLRPC APIへのアクセス制限を推奨する。

対象となるバージョン

Movable Type 4.0 以降、Movable Type 7 r.5004、6.8.4 以前のすべてのバージョン。

• Movable Type 7 r.4207 - r.5004
• Movable Type 6.0.0 - 6.8.4
• Movable Type Advanced 7 r.4502 - r.5004
• Movable Type Advanced 6.0.2 - 6.8.4
• Movable Type Premium (Advanced Edition) 1.0 - 1.48

※Movable Typeクラウド版はすべての環境で本脆弱性の対策が完了。

※MovableType.netは、本脆弱性の影響はない。