Movable Typeに新たなXSSの脆弱性任意のスクリプトが実行される

提供中の最新版で解消しているが、一部ユーザーはグローバルテンプレートを初期化する必要がある。

» 2009年04月24日 16時36分 公開
[ITmedia]

 情報処理推進機構(IPA)セキュリティセンターとJPCERT コーディネーションセンター(JPCERT/CC)は4月24日、シックス・アパートのブログ作成ソフトウェア「Movable Type」に新たなクロスサイトスクリプティング(XSS)の脆弱性が見つかったとして情報を公開した。

 脆弱性は、アプリケーションの入力項目の一部で適切に入力エスケープ処理がされないことに起因する。悪用されるとユーザーのシステム上で任意のスクリプトが実行される可能性がある。

 影響を受けるのは、Movable Type 4.24(Professional Pack、Community Pack同梱)、Movable Type 4.24 Enterprise、Movable Type 4.24(Open Source)、Movable Type Commercial 4.24(Professional Pack を同梱)の各製品。また、Movable Type 4.24(Professional Pack、Community Pack同梱)とMovable Type 4.24 EnterpriseからMovable Type 4.25にアップグレードしたユーザーで、グローバルテンプレートを初期化していない環境も影響を受けるという。

 シックス・アパートは提供中のMovable Type 4.25で脆弱性に対処済み。Movable Type 4.24(Professional Pack、Community Pack同梱)とMovable Type 4.24 Enterpriseのユーザーは、アップグレード後にグローバルテンプレートを初期化する必要がある。ほかの製品を利用している場合は、アップグレードのみで解消されるとしている。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ