シックス・アパート株式会社は2021年12月16日、脆弱性(CVE-2021-20837)に対応する追加修正を行った最新版として、Movable Type 7 r.5005、Movable Type 6.8.5、Movable Type Premium および Movable Type Premium (Advanced Edition) 1.49を公開した。
今回の追加修正版は、先日公開したMovable Type 7 r.5003 / 6.8.3 / Movable Type Premium 1.47(2021年10月20日公開)およびMovable Type 7 r.5004 / 6.8.4 、Movable Type Premium 1.48(2021年12月1日公開)で対応しきれていなかった部分に対応したもの。
CVE-2021-20837は非常に深刻な脆弱性で、見知らぬPHPファイルなどの設置や.htaccess書き換えによるサイト閲覧妨害、また、それに伴う2次的攻撃など、さまざまな問題につながるもの。
現在、Movable Typeを使用されているユーザは利用しているバージョンを確認の上、至急、最新版へのアップデートの実施またはXMLRPC APIへのアクセス制限を推奨する。
対象となるバージョン
Movable Type 4.0 以降、Movable Type 7 r.5004、6.8.4 以前のすべてのバージョン。
- Movable Type 7 r.4207 - r.5004
- Movable Type 6.0.0 - 6.8.4
- Movable Type Advanced 7 r.4502 - r.5004
- Movable Type Advanced 6.0.2 - 6.8.4
- Movable Type Premium (Advanced Edition) 1.0 - 1.48
※Movable Typeクラウド版はすべての環境で本脆弱性の対策が完了。
※MovableType.netは、本脆弱性の影響はない。