【注意喚起】Movable Type 4.0以上の脆弱性に関するお知らせ

平素よりレンタルサーバーCPIをご利用いただき、誠にありがとうございます。

CMS「Movable Type」4.0 以上において、脆弱性を悪用した攻撃により「見知らぬPHPファイルなどを設置される」「.htaccessを書き換えられてサイトの閲覧に影響が出る」などの事象を確認いたしました。

脆弱性の対象バージョン	Movable Type 4.0以上（Advanced、Premiumも含む）
脆弱性の内容	OSコマンド・インジェクション

Movable Typeをご利用のお客さまは、シックス・アパート株式会社の以下ページをご確認のうえ、早急に最新版へのバージョンアップをお願いします。

Movable typeにおける脆弱性のお知らせ（2021/12/16 追記）

• https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html

• バージョンアップをおこなう際には、必ず事前に各種データをバックアップしてください。
• すぐにバージョンアップをおこなうことが難しい場合は、上記シックス・アパート株式会社のサイトをご確認のうえ、以下の対象プログラムについて、ご利用状況に応じアクセス制限や削除などの対応を早急にお願いします。

対象プログラム：mt-xmlrpc.cgi

コントロールパネル提供機能である「アクセス制限」「FTP接続制限」をご利用される場合は、
操作マニュアルよりご利用プランごとのページをご確認ください。

弊社提供のCMSインストーラーでインストールされた有償および無償の「Movable Type」をご利用されているお客さまについては、管理先ご担当者さま宛にメールにてご案内します。

参考情報

JPCERTコーディネーションセンター
Movable TypeのXMLRPC APIにおける脆弱性（CVE-2021-20837）に関する注意喚起

• https://www.jpcert.or.jp/at/2021/at210047.html?_fsi=HeSjA6V8

独立行政法人情報処理推進機構 (IPA)
「Movable Type」のXMLRPC APIにおけるOSコマンド・インジェクションの脆弱性について（JVN#41119755）

• https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html

CPIでは、今後もお客さまに安心してご利用いただけますように努めてまいります。
引き続き変わらぬご愛顧を賜りますようお願い申し上げます。

• お問い合わせ：CPIサポート