CMS「Movable Type」にフィッシングなどに遭う脆弱性（JVN）

IPAおよびJPCERT/CCは、シックス・アパートが提供するCMSである「Movable Type」に、オープンリダイレクトの脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

57 views

2019.11.14 Thu 8:05

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーデネーションセンター（JPCERT/CC）は11月13日、シックス・アパート株式会社が提供するコンテンツ管理システム（CMS）である「Movable Type」に、オープンリダイレクトの脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3によるBase Scoreは4.7。EGセキュアソリューションズ株式会社の細野英朋氏が報告を行った。影響を受けるシステムは次の通り。

Movable Type 7 r.4602 (7.1.3) およびそれ以前 (Movable Type 7系)
Movable Type 6.5.0 および 6.5.1 (Movable Type 6.5系)
Movable Type 6.3.9 およびそれ以前 (Movable Type 6.3.x系、6.2.x系、6.1.x系、6.0.x系)
Movable Type Advanced 7 r.4602 (7.1.3) およびそれ以前 (Movable Type 7系)
Movable Type Advanced 6.5.0 および 6.5.1 (Movable Type 6.5系)
Movable Type Advanced 6.3.9 およびそれ以前 (Movable Type 6.3.x系、6.2.x系、6.1.x系、6.0.x系)
Movable Type Premium 1.24 およびそれ以前 (Movable Type Premium 系)
Movable Type Premium (Advanced Edition) 1.24 およびそれ以前 (Movable Type Premium 系)

これらのバージョンには、オープンリダイレクトの脆弱性（CVE-2019-6025）が存在する。この脆弱性が悪用されると、細工されたURLにアクセスすることで、任意のWebサイトにリダイレクトされる可能性がある。結果として、フィッシングなどの被害に遭う可能性がある。JVNでは、開発者が提供する情報をもとに、最新版にアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》