アクセス制限を回避可能な脆弱性とクロスサイトスクリプティングの脆弱性が見つかった。
シックス・アパートのブログ作成ソフト「Movable Type」に2件の脆弱性が見つかり、情報処理推進機構(IPA)セキュリティセンターとJPCERT コーディネーションセンターが6月24日、情報を公開した。
脆弱性は、クロスサイトスクリプティングとアクセス制限を回避される問題の2件。Movable Type 4.25以前(Enterprise、Professional Pack/Community Pack同梱版、Open Sourceを含む)とMovable Type Commercial 4.25(Professional Pack同梱)に存在する。
いずれも悪用されると、リモートから任意のコードを実行されたり、製品に保存された情報を閲覧されたりする可能性がある。攻撃が成立するには、初期設定後にmt-wizard.cgiが削除されていないことが条件になるという。
シックス・アパートは、Movable Type 4.261でこれらの脆弱性に対処した。
Copyright © ITmedia, Inc. All Rights Reserved.