公開日:2025/10/22 最終更新日:2025/10/22
JVN#24333679
Movable Typeにおける複数の格納型クロスサイトスクリプティングの脆弱性
シックス・アパート株式会社が提供するMovable Typeには、複数の格納型クロスサイトスクリプティングの脆弱性が存在します。
Movable Type ソフトウェア版
- Movable Type / Movable Type Advanced
- 8.4.0から8.4.3まで(8.4系)
- 8.0.0から8.0.7まで(8.0系)
- 7 r.5509 およびそれ以前(7系)
- Movable Type Premium / Movable Type Premium(Advanced Edition)
- 2.10およびそれ以前(2系)
- 1.67およびそれ以前(1系)
- Movable Type
- 8.7.0(8系)
- 7 r.5509(7系)
- Movable Type Premium
- 2.10(2系)
- 1.67(1系)
シックス・アパート株式会社が提供するMovable Typeには、次に挙げる複数の格納型クロスサイトスクリプティングの脆弱性が存在します。
- コンテンツデータの編集画面における格納型クロスサイトスクリプティング(CWE-79)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.6
- CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値 4.8
- CVE-2025-54856
- コンテンツタイプのカテゴリセット編集画面における格納型クロスサイトスクリプティング(CWE-79)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.6
- CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値 4.8
- CVE-2025-62499
「コンテンツタイプの管理」権限を持ったユーザによって細工された入力が保存された場合、次のような影響を受ける可能性があります。
- コンテンツデータの編集画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2025-54856)
- コンテンツタイプのカテゴリセット編集画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2025-62499)
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
Movable Type ソフトウェア版
- Movable Type / Movable Type Advanced
- 8.8.0(8.8系)
- 8.4.4(8.4系)
- 8.0.8(8.0系)
- 7 r.5510(7系)
- Movable Type Premium / Movable Type Premium(Advanced Edition)
- 2.11(2系)
- 1.68(1系)
- Movable Type
- 8.8.0(8系)
- 7 r.5510(7系)
- Movable Type Premium
- 2.11(2系)
- 1.68(1系)
この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2025-54856 |
|
CVE-2025-62499 |
|
| JVN iPedia |
JVNDB-2025-000090 |
