Movable Typeに2件の脆弱性、任意のスクリプトが実行される恐れ


 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は24日、ブログシステム「Movable Type」において、クロスサイトスクリプティングの脆弱性およびアクセス制限回避の脆弱性があると公表した。最新版の「4.261」にアップデートすることで脆弱性を回避できる。

 脆弱性の影響を受けるシステムは、「Movable Type 4.25 Enterprise」およびそれ以前、「Movable Type 4.25(Professional Pack、Community Packを同梱)およびそれ以前、「Movable Type Commercial 4.25(Professional Packを同梱)およびそれ以前、「Movable Type 4.25(Open Source)」およびそれ以前のバージョン。

 クロスサイトスクリプティングの脆弱性では、ユーザーのブラウザ上で任意のスクリプトを実行される可能性がある。また、アクセス制限回避の脆弱性では、遠隔の第三者により、任意の宛先へ不正にメールを送信されたり、Movable Typeに保存されている情報を閲覧される可能性があるという。


関連情報

(増田 覚)

2009/6/24 19:09