公開日:2012/02/23 最終更新日:2012/02/23

JVN#49836527
Movable Type におけるクロスサイトスクリプティングの脆弱性

概要

Movable Type には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

以下の各製品の、5.12、5.06 および 4.37、4.292 を含むバージョンが影響を受けます。

  • Movable Type Open Source
  • Movable Type (Professional Pack, Community Pack を同梱)
  • Movable Type Enterprise
  • Movable Type Advanced
詳しくは開発者が提供する情報をご確認ください。

詳細情報

mt-wizard.cgi および Movable Type に同梱されているテンプレートには、クロスサイトスクリプティングの脆弱性が存在します。

想定される影響

ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。

なお、開発者によると、対策版として以下のバージョンがリリースされているとのことです。

  • Movable Type Open Source 4.38
  • Movable Type Open Source 5.07
  • Movable Type Open Source 5.13
  • Movable Type 5.07 (Professional Pack, Community Pack を同梱)
  • Movable Type 5.13 (Professional Pack, Community Pack を同梱)
  • Movable Type Advanced 5.07
  • Movable Type Advanced 5.13

ベンダ情報

ベンダ リンク
シックス・アパート株式会社 5.13、5.07、4.38 リリースノート

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2012-0318
JVN iPedia JVNDB-2012-000016