Movable Typeにクロスサイトスクリプティングの脆弱性

[ITmedia]

　シックス・アパートは9月26日、サーバサイドのブログ作成／管理ツールの最新版「Movable Type 3.33日本語版」の提供を開始した。機能／信頼性向上に加え、クロスサイトスクリプティングの脆弱性を修正したセキュリティフィックスであり、早期のアップグレードが推奨されている。

　JVNやIPAの情報によると、Movable Type 3.2以前とMovable Type Enterpriseには、クロスサイトスクリプティングの脆弱性が存在する。管理画面や検索機能、コメント機能においてWebページを出力する際の処理が不適切なため、悪意あるページを通じて任意のスクリプトを実行され、個人情報を盗み見られたり、セッションハイジャックにつながる恐れがある。

　シックス・アパートでは問題を修正したバージョン3.33およびバージョン3.2用のパッチを公開。早期のアップグレードを進めている。

　なお、Movable Type Enterpriseについては、新バージョン1.03の公開は9月27日になる予定という。