Movable Type及びPowerCMSのXMLRPC APIにおける脆弱性(CVE-2021-20837及びCVE-2021-20850)を標的とした攻撃の観測について

2021年12月17日
警察庁

概要

  • CMSプラットフォームである「Movable Type」及び「PowerCMS」のXMLRPC APIにおける脆弱性(CVE-2021-20837及びCVE-2021-20850)に関する情報が、それぞれシックス・アパート株式会社及びアルファサード株式会社から公表されています。
  • 11月18日以降、当該脆弱性を標的とした攻撃を観測しています。
  • 観測している攻撃は、当該脆弱性のあるサーバの公開ディレクトリ上に不審なファイルを配置するものです。

グラフ

  • このグラフは、全国の警察施設のインターネット接続点に設置されたセンサーで観測したアクセス(件数)の1センサー当たりの平均の推移を示したものです。なお、このグラフは一時間毎に更新致します。また、今後の観測状況によっては、予告なく更新を停止する場合があります。

影響を受けるシステム

  • Movable Type 7 r.5004及びそれ以前(Movable Type 7系)
  • Movable Type 6.8.4及びそれ以前(Movable Type 6系)
  • Movable Type Advanced 7 r.5004及びそれ以前(Movable Type Advanced 7系)
  • Movable Type Advanced 6.8.4及びそれ以前(Movable Type Advanced 6系)
  • Movable Type Premium 1.48及びそれ以前
  • Movable Type Premium Advanced 1.48及びそれ以前
  • PowerCMS 5.19/4.49/3.295を含むそれ以前

  • ※2021年12月17日更新
    2021年12月15日以前に公表された対策が不十分であることが判明したため、影響を受けるシステムを修正しました。

対策

  1. 脆弱性の影響を受けるMovable Typeの利用者は、シックス・アパート株式会社が公開している情報を確認し、対策を適用してください。
  2. 脆弱性の影響を受けるPowerCMS の利用者は、アルファサード株式会社が公開している情報を確認し、対策を適用してください。

参考