公開日:2012/02/23 最終更新日:2012/02/23

JVN#92683325
Movable Type における OS コマンドインジェクションの脆弱性

概要

Movable Type には、OS コマンドインジェクションの脆弱性が存在します。

影響を受けるシステム

以下の各製品の、5.12、5.06 および 4.37、4.292 を含むバージョンが影響を受けます。

  • Movable Type Open Source
  • Movable Type (Professional Pack, Community Pack を同梱)
  • Movable Type Enterprise
  • Movable Type Advanced
詳しくは開発者が提供する情報をご確認ください。

詳細情報

Movable Type のファイル管理システムには、OS コマンドインジェクションの脆弱性が存在します。

想定される影響

ファイルアップロードの権限を持つユーザによって、任意の OS コマンドを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。

なお、開発者によると、対策版として以下のバージョンがリリースされているとのことです。

  • Movable Type Open Source 4.38
  • Movable Type Open Source 5.07
  • Movable Type Open Source 5.13
  • Movable Type 5.07 (Professional Pack, Community Pack を同梱)
  • Movable Type 5.13 (Professional Pack, Community Pack を同梱)
  • Movable Type Advanced 5.07
  • Movable Type Advanced 5.13

ベンダ情報

ベンダ リンク
シックス・アパート株式会社 5.13、5.07、4.38 リリースノート

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2012-0319
JVN iPedia JVNDB-2012-000017