「Movable Type」に複数の脆弱性、アップデートを呼びかけ(JVN)
IPAおよびJPCERT/CCは、シックス・アパートが提供する「Movable Type」に複数の脆弱性が存在すると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
影響を受けるシステムは次の通り。
Movable Type 7 r.4606 (7.2.1) およびそれ以前 (Movable Type 7系)
Movable Type Advanced 7 r.4606 (7.2.1) およびそれ以前 (Movable Type Advanced 7系)
Movable Type for AWS 7 r.4606 (7.2.1) およびそれ以前 (Movable Type for AWS 7系)
Movable Type 6.5.3 およびそれ以前 (Movable Type 6.5系)
Movable Type Advanced 6.5.3 およびそれ以前 (Movable Type Advanced 6.5系)
Movable Type 6.3.11 およびそれ以前 (Movable Type 6.3系)
Movable Type Advanced 6.3.11 およびそれ以前 (Movable Type Advanced 6.3系)
Movable Type Premium 1.29 およびそれ以前
Movable Type Premium Advanced 1.29 およびそれ以前
これらのバージョンには、HTML 属性値のインジェクションに関する脆弱性(CVE-2020-5574)、複数のクエリ文字列の処理に起因するクロスサイトスクリプティングの脆弱性(CVE-2020-5575)、クロスサイトリクエストフォージェリ(CVE-2020-5576)、特定の拡張子を持つファイルをアップロードされる脆弱性(CVE-2020-5577)が存在する。
これらの脆弱性が悪用された場合の影響は脆弱性により異なるが、任意のPHPスクリプトが実行されるなどの影響を受ける可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
![米政府が北朝鮮サイバー脅威アドバイザリー公表/Zoom, Webex, Teams の脆弱性 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/31237.png)
関連リンク
特集
アクセスランキング
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績
-
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
-
LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
-
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR
-
タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
-
情報処理学会、高等学校情報科の全教科書の用語リスト公開
-
Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に
-
国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表
-
LINE client for iOS にサーバ証明書の検証不備の脆弱性