2021年10月20日、シックス・アパート株式会社から、
Movable Type 4.0
以降のすべてのバージョンが対象となる脆弱性(CVE-2021-20837)が発表されました。
さくらのレンタルサーバでは、2015年8月26日(水)を持ちまして、
クイックインストールのご提供を終了しておりますが、未だお問い合わせをいただきます。
お心当たりがある場合はご対応いただけますようお願いいたします。
Movable Typeをご利用の場合は、対策を行っていただけますようお願いいたします。
また、Movable Typeはもう使っていないものの、インストールされたデータが残っている方は
ファイルマネージャー等から削除ください。
Movable Typeのご利用状況の確認方法について
サーバコントロールパネルのインストール済パッケージでは確認できません。
Movable Typeのインストールフォルダには、mt.cgiが設置されているので、そちらをご確認ください。
Movable Typeの脆弱性について
本件に関する注意喚起情報
詳細は下記をご参照ください。
脆弱性の内容
XMLRPC API に細工したメッセージを POST メソッドで送信することで、任意の OSコマンドが実行可能となる。
影響を受ける Movable Type のバージョン
すでにサポート終了をしたバージョンを含む、Movable Type 4.0以降のすべてのバージョン
対策
シックス・アパート株式会社から本脆弱性を修正したバージョンが公開されています。
可能な限り速やかにバージョンアップを行っていただくか、あるいは、WordPressなどへの移行をご検討ください。