【重要】Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起

お客様各位

平素はATWインターネットサービスをご利用いただき誠にありがとうございます。

シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。
「Movable Type」の XMLRPC API には、OS コマンド・インジェクションの脆弱性(CVE-2021-20837)が存在します。
※2021年11月9日現在、本脆弱性を悪用した攻撃が確認されております。

脆弱性の詳細は下記を参照ください。
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html
https://jvn.jp/jp/JVN41119755/
https://www.jpcert.or.jp/at/2021/at210047.html

■対象となるバージョン
Movable Type 4.0 以上(Advanced、Premium も含む)が対象
「Movable Type」をベースとした CMS である「PowerCMS」についても、本脆弱性の影響を受ける可能性がある模様です。

当CMSをご利用中のお客様におきましては、本脆弱性を悪用した攻撃が確認されているため
出来るだけ早急に、対策を実施してください。