CVE-2022-38078

Movable Type versões 4.0 e posteriores

Movable Type versões 7 r.5202 e anteriores

Movable Type Advanced versões 7 r.5202 e anteriores

Movable Type versões 6.8.6 e anteriores

Movable Type Advanced versões 6.8.6 e anteriores

Movable Type Premium versões 1.52 e anteriores

Movable Type Premium Advanced versões 1.52 e anteriores

A API XMLRPC do Movable Type contém uma vulnerabilidade de injeção de comando relacionada a erros no processamento de dados de entrada. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute comandos arbitrários. O envio de uma mensagem especialmente criada pelo método POST para a API XMLRPC do Movable Type pode permitir a execução arbitrária de scripts Perl, e um comando arbitrário do sistema operacional pode ser executado por meio dela.

Para as versões 7 r.5202 e anteriores do Movable Type, atualize para uma versão posterior à 7 r.5202.

Para as versões 7 r.5202 e anteriores do Movable Type Advanced, atualize para uma versão posterior à 7 r.5202.

Para as versões 6.8.6 e anteriores do Movable Type, atualize para uma versão posterior à 6.8.6.

Para as versões 6.8.6 e anteriores do Movable Type Advanced, atualize para uma versão posterior à 6.8.6.

Para as versões 1.52 e anteriores do Movable Type Premium, atualize para uma versão posterior à 1.52.

Para as versões 1.52 e anteriores do Movable Type Premium Advanced, atualize para uma versão posterior à 1.52.

Como solução temporária, considere restringir o acesso à API XMLRPC do Movable Type até que um patch esteja disponível.