記事検索

「Movable Type」にXSSとSQLインジェクションの脆弱性、修正版に更新を


 シックス・アパート株式会社は8日、「Movable Type 4.28」および「Movable Type 5.04」を公開した。「Movable Type 4」「Movable Type 5」に見つかった複数の脆弱性について修正したバージョンで、アップグレードを強く推奨している。

 Movable Type 5.031および4.27以前のバージョンでは、アプリケーション上の入力項目の一部において適切に入力エスケープ処理されないため、クロスサイトスクリプティング(XSS)およびSQLインジェクションが発生する恐れがあるという。リモートの第三者によって、データベースを不正に閲覧・変更されたり、ユーザーのウェブブラウザー上で任意のスクリプトを実行される可能性がある。

 独立行政法人情報処理推進機構(IPA)でも、Movable Typeの脆弱性について注意を呼びかけている。

SQLインジェクションの概要(IPAのプレスリリースより)




関連情報


(永沢 茂)

2010/12/8 17:52