「Movable Type」にXSSとSQLインジェクションの脆弱性、修正版に更新を

　シックス・アパート株式会社は8日、「Movable Type 4.28」および「Movable Type 5.04」を公開した。「Movable Type 4」「Movable Type 5」に見つかった複数の脆弱性について修正したバージョンで、アップグレードを強く推奨している。

　Movable Type 5.031および4.27以前のバージョンでは、アプリケーション上の入力項目の一部において適切に入力エスケープ処理されないため、クロスサイトスクリプティング（XSS）およびSQLインジェクションが発生する恐れがあるという。リモートの第三者によって、データベースを不正に閲覧・変更されたり、ユーザーのウェブブラウザー上で任意のスクリプトを実行される可能性がある。

　独立行政法人情報処理推進機構（IPA）でも、Movable Typeの脆弱性について注意を呼びかけている。

SQLインジェクションの概要（IPAのプレスリリースより）