カスタマーセンターからのお知らせ

Movable Type の脆弱性にご注意ください

2021年10月20日、シックス・アパート株式会社から、
Movable Type 4.0 以降のすべてのバージョンが対象となる脆弱性(CVE-2021-20837)が発表されました。

さくらのレンタルサーバでは、2015年8月26日(水)を持ちまして、
クイックインストールのご提供を終了しておりますが、未だお問い合わせをいただきます。
お心当たりがある場合はご対応いただけますようお願いいたします。

Movable Typeをご利用の場合は、対策を行っていただけますようお願いいたします。
また、Movable Typeはもう使っていないものの、インストールされたデータが残っている方は
ファイルマネージャー等から削除ください。

Movable Typeのご利用状況の確認方法について

サーバコントロールパネルのインストール済パッケージでは確認できません。
Movable Typeのインストールフォルダには、mt.cgi が設置されているので、そちらをご確認ください。

Movable Typeの脆弱性について

本件に関する注意喚起情報

詳細は下記をご参照ください。

脆弱性の内容

XMLRPC API に細工したメッセージを POST メソッドで送信することで、任意の OS コマンドが実行可能となる。

影響を受ける Movable Type のバージョン

すでにサポート終了をしたバージョンを含む、Movable Type 4.0 以降のすべてのバージョン

対策

シックス・アパート株式会社から本脆弱性を修正したバージョンが公開されています。
可能な限り速やかにバージョンアップを行っていただくか、あるいは、WordPressなどへの移行をご検討ください。