ニュース
Movable Typeにクロスサイトスクリプティングの脆弱性
Movable Typeにクロスサイトスクリプティングの脆弱性が存在。シックス・アパートでは最新バージョンへのアップグレードを呼びかけている。
シックス・アパートは9月26日、サーバサイドのブログ作成/管理ツールの最新版「Movable Type 3.33日本語版」の提供を開始した。機能/信頼性向上に加え、クロスサイトスクリプティングの脆弱性を修正したセキュリティフィックスであり、早期のアップグレードが推奨されている。
JVNやIPAの情報によると、Movable Type 3.2以前とMovable Type Enterpriseには、クロスサイトスクリプティングの脆弱性が存在する。管理画面や検索機能、コメント機能においてWebページを出力する際の処理が不適切なため、悪意あるページを通じて任意のスクリプトを実行され、個人情報を盗み見られたり、セッションハイジャックにつながる恐れがある。
シックス・アパートでは問題を修正したバージョン3.33およびバージョン3.2用のパッチを公開。早期のアップグレードを進めている。
なお、Movable Type Enterpriseについては、新バージョン1.03の公開は9月27日になる予定という。
関連記事
- Movable Type日本語版、不具合修正の3.31公開
シックス・アパートは、6月28日に公開したMovable Type日本語版の最新バージョンに動作上の不具合があったとして、7月12日に修正を施したバージョン3.31をリリースした。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.