ニュース
「Movable Type」旧バージョンにクロスサイトスクリプティングの脆弱性
2018年8月30日 17:22
ウェブサービス型CMS「Movable Type」にウェブブラウザー上で任意のスクリプトを実行されるクロスサイトスクリプティングの脆弱性があるとして、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する、Japan Vulnerability Note(JVN)が情報を公開した。
影響を受けるシステムのバージョンは6.3.1未満。CVE番号は「CVE-2018-0672」、共通脆弱性評価システムCVSS v3のスコアは6.1。
対策として、脆弱性を修正したバージョン6.3.1以降のシステムの利用が推奨されている。また、対策前のバージョンを使用する場合、<MT_HOME>/php/extlib/adodb5/testsディレクトリの削除を推奨している。
なお、バージョン6.3.1は2016年9月にリリースされており、その時点で脆弱性も修正されているほか、最新版の「Movable Type 7」でも対策が施されている。