Movable TypeのXMLRPC APIに再びコマンド・インジェクションの脆弱性

2022年8月24日、Movable Typeを提供するシックスアパート株式会社は、Movable TypeのXMLRPC APIに再びコマンド・インジェクションの脆弱性が見つかったとして、これが修正されたMovable […]

2022年8月24日、Movable Typeを提供するシックスアパート株式会社は、Movable TypeのXMLRPC APIに再びコマンド・インジェクションの脆弱性が見つかったとして、これが修正されたMovable Type 7 r.5301をリリースした。

CVSS v3スコアは9.8(緊急)。

「Movable Type」の XMLRPC API におけるコマンド・インジェクションの脆弱性について(JVN#57728859)IPA 独立行政法人 情報処理推進機構

国内でのユーザーが多いCMS、Movable Typeは、昨年10月にXMLRPC API を経由した OS コマンドインジェクションの脆弱性が見つかり、これを修正したMovable Type 7 r.5003をリリースした。

が、12月16日にこの修正が不十分だったとして再度Movable Type 7 r.5005をリリース。

XMLRPC APIの脆弱性が修正されるのは、この10か月で3度目となる。

なお同社はこの2日前にサイバー保険の取り扱いを開始したと発表している。

カテゴリ:
タグ:

WordPress × 6つまで
お問い合わせ
お申し込み