「Movable Type」に複数の脆弱性、アップデートを呼びかけ(JVN) | ScanNetSecurity
2025.12.04(木)

「Movable Type」に複数の脆弱性、アップデートを呼びかけ(JVN)

IPAおよびJPCERT/CCは、シックス・アパートが提供する「Movable Type」に複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
44 views
facebookLINE
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は5月13日、シックス・アパート株式会社が提供する「Movable Type」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3による最大Base Scoreは6.3。三井物産セキュアディレクション株式会社の米山俊嗣氏、および東内裕二氏が報告を行った。

影響を受けるシステムは次の通り。

Movable Type 7 r.4606 (7.2.1) およびそれ以前 (Movable Type 7系)
Movable Type Advanced 7 r.4606 (7.2.1) およびそれ以前 (Movable Type Advanced 7系)
Movable Type for AWS 7 r.4606 (7.2.1) およびそれ以前 (Movable Type for AWS 7系)
Movable Type 6.5.3 およびそれ以前 (Movable Type 6.5系)
Movable Type Advanced 6.5.3 およびそれ以前 (Movable Type Advanced 6.5系)
Movable Type 6.3.11 およびそれ以前 (Movable Type 6.3系)
Movable Type Advanced 6.3.11 およびそれ以前 (Movable Type Advanced 6.3系)
Movable Type Premium 1.29 およびそれ以前
Movable Type Premium Advanced 1.29 およびそれ以前

これらのバージョンには、HTML 属性値のインジェクションに関する脆弱性(CVE-2020-5574)、複数のクエリ文字列の処理に起因するクロスサイトスクリプティングの脆弱性(CVE-2020-5575)、クロスサイトリクエストフォージェリ(CVE-2020-5576)、特定の拡張子を持つファイルをアップロードされる脆弱性(CVE-2020-5577)が存在する。

これらの脆弱性が悪用された場合の影響は脆弱性により異なるが、任意のPHPスクリプトが実行されるなどの影響を受ける可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. テインへのランサムウェア攻撃、子会社の中国工場が 1 週間稼働を停止

    テインへのランサムウェア攻撃、子会社の中国工場が 1 週間稼働を停止

  2. 新報国マテリアルにランサムウェア攻撃、ファイルの一部暗号化とバックアップデータ等の一部削除を確認

    新報国マテリアルにランサムウェア攻撃、ファイルの一部暗号化とバックアップデータ等の一部削除を確認

  3. 流出先での営業活動が新たに判明 ~ ヤマト運輸の元従業員による情報不正持ち出し

    流出先での営業活動が新たに判明 ~ ヤマト運輸の元従業員による情報不正持ち出し

  4. 感染が確認された機器は一部サーバに限定 ~ ユーザックシステムへのランサムウェア攻撃

    感染が確認された機器は一部サーバに限定 ~ ユーザックシステムへのランサムウェア攻撃

  5. 大企業における VPN 時代の終焉ほか ~ Zscaler 2026年サイバーセキュリティトレンド

    大企業における VPN 時代の終焉ほか ~ Zscaler 2026年サイバーセキュリティトレンド

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP