「Movable Type」に複数の脆弱性、アップデートを呼びかけ(JVN) | ScanNetSecurity
2020.08.03(月)

「Movable Type」に複数の脆弱性、アップデートを呼びかけ(JVN)

IPAおよびJPCERT/CCは、シックス・アパートが提供する「Movable Type」に複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は5月13日、シックス・アパート株式会社が提供する「Movable Type」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3による最大Base Scoreは6.3。三井物産セキュアディレクション株式会社の米山俊嗣氏、および東内裕二氏が報告を行った。

影響を受けるシステムは次の通り。

Movable Type 7 r.4606 (7.2.1) およびそれ以前 (Movable Type 7系)
Movable Type Advanced 7 r.4606 (7.2.1) およびそれ以前 (Movable Type Advanced 7系)
Movable Type for AWS 7 r.4606 (7.2.1) およびそれ以前 (Movable Type for AWS 7系)
Movable Type 6.5.3 およびそれ以前 (Movable Type 6.5系)
Movable Type Advanced 6.5.3 およびそれ以前 (Movable Type Advanced 6.5系)
Movable Type 6.3.11 およびそれ以前 (Movable Type 6.3系)
Movable Type Advanced 6.3.11 およびそれ以前 (Movable Type Advanced 6.3系)
Movable Type Premium 1.29 およびそれ以前
Movable Type Premium Advanced 1.29 およびそれ以前

これらのバージョンには、HTML 属性値のインジェクションに関する脆弱性(CVE-2020-5574)、複数のクエリ文字列の処理に起因するクロスサイトスクリプティングの脆弱性(CVE-2020-5575)、クロスサイトリクエストフォージェリ(CVE-2020-5576)、特定の拡張子を持つファイルをアップロードされる脆弱性(CVE-2020-5577)が存在する。

これらの脆弱性が悪用された場合の影響は脆弱性により異なるが、任意のPHPスクリプトが実行されるなどの影響を受ける可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

PageTop

特集

アクセスランキング

  1. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  2. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  3. 初心者向けにサイバーセキュリティ・リレー講座 全8回を実施(経済産業省四国経済産業局)

    初心者向けにサイバーセキュリティ・リレー講座 全8回を実施(経済産業省四国経済産業局)

  4. 再委託先が設定ミス「中小企業等支援策活用サポートセンター」相談者情報が閲覧可能に(京都市)

    再委託先が設定ミス「中小企業等支援策活用サポートセンター」相談者情報が閲覧可能に(京都市)

  5. 攻撃活動が再開した「Emotet」の観測状況を公開(IPA)

    攻撃活動が再開した「Emotet」の観測状況を公開(IPA)

  6. 初級者向けログ分析トレーニング用コンテンツをGitHub上で公開(JPCERT/CC)

    初級者向けログ分析トレーニング用コンテンツをGitHub上で公開(JPCERT/CC)

  7. 増加するランサムウェア攻撃、世界中の事例を紹介(CrowdStrike)

    増加するランサムウェア攻撃、世界中の事例を紹介(CrowdStrike)PR

  8. ハードディスク処分、テクニカルセンター内映像をYouTube公開(ブロードリンク)

    ハードディスク処分、テクニカルセンター内映像をYouTube公開(ブロードリンク)

  9. 破産者等の個人情報掲載サイトに停止命令、対応なき場合 罰則求める刑事告発予定(個人情報保護委員会)

    破産者等の個人情報掲載サイトに停止命令、対応なき場合 罰則求める刑事告発予定(個人情報保護委員会)

  10. 「ショップチャンネル」にパスワードリスト型攻撃、定常的なモニタリングで発覚(ジュピターショップチャンネル)

    「ショップチャンネル」にパスワードリスト型攻撃、定常的なモニタリングで発覚(ジュピターショップチャンネル)

ランキングをもっと見る