ブログシステム「Movable Type」にXSSの脆弱性

Tweet

脆弱性情報を提供しているJVNが発表したところによると、シックス・アパート社のブログシステム「Movable Type」にクロスサイトスクリプティング(XSS)の脆弱性が発見されたとして注意を呼びかけています。対象となるシステムは最新版へのアップグレードが必要とのことです。

・Movable Typeに新たなXSSの脆弱性(ITmedia)

記事によると、この脆弱性は、アプリケーションの入力項目の一部で、特定の文字列を一定の規則に基づいて意味を持たない文字列に変換するエスケープ処理が適切に行われないことに起因するもので、悪用されるとユーザーのWebブラウザー上で任意のスクリプトを実行される可能性があります。

影響を受けるシステムは以下の通りです。

(1)Movable Type 4.24 (Professional Pack, Community Pack を同梱)
(2)Movable Type Commercial 4.24 (Professional Pack を同梱)
(3)Movable Type 4.24 Enterprise
(4)Movable Type 4.24 (Open Source)

「Movable Type」のブログシステムを提供している事業者の対策方法は、システムの最新版へのアップグレードです。また、以下の環境ではアップグレード後にグローバルテンプレートを初期化する必要があります。

・Movable Type 4.25 (上記(1)からアップグレードした環境)
・Movable Type 4.25 (上記(3)からアップグレードした環境)

販売元のシックス・アパート社では以下の通り、最新版へアップデートおよびグローバルテンプレートの初期化について情報を公開しています。

・Movable Type 4.24 でのセキュリティ上の問題について