Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Movable Type」旧版、ライブラリに起因するXSS脆弱性 - 2016年に修正済み

コンテンツマネジメントシステム(CMS)である「Movable Type」の旧バージョンにクロスサイトスクリプティング(XSS)の脆弱性が含まれていることがわかった。2016年に実施したアップデートで修正済みだという。

脆弱性情報のポータルサイトであるJVNによれば、「同6.2.4」および以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性「CVE-2018-0672」が含まれていることが判明したもの。ウェブブラウザ上で、任意のスクリプトを実行されるおそれがある。

脆弱性について指摘を受けたシックス・アパートは、同脆弱性がPHP向けのデータベース抽象化ライブラリ「ADOdb」に発見されたXSSの脆弱性「CVE-2016-4855」に起因するものと説明。2016年9月にリリースした「Movable Type 6.3.1」で対応済みとしている。

また脆弱性が含まれる「同6.2.4」より以前のバージョンに関しては、同ライブラリを含むディレクトリを削除することにより脆弱性を緩和できるとしている。

(Security NEXT - 2018/08/31 ) このエントリーをはてなブックマークに追加

PR

関連記事

JVNで6製品の使用中止を呼びかけ - 脆弱性見つかるも開発者と連絡不能
バッファローのNAS製品にMITM攻撃でコード実行のおそれ
米当局、脆弱性3件の悪用に注意喚起 - FortinetやIvantiの製品が標的に
「auひかり」向けのブロードバンドルータに複数の脆弱性
Apple、「iOS」「iPadOS」のセキュリティアップデートを公開
「Firefox 124.0.1」が公開、深刻な脆弱性2件を解消
ブラウザ「MS Edge」にアップデート - 9件の脆弱性を修正
Google、ブラウザ最新版「Chrome 123」をリリース - 複数脆弱性を修正
「GitHub Enterprise Server」に複数脆弱性 - アップデートが公開
Ivantiの複数製品に深刻な脆弱性 - 早急なパッチ適用を強く推奨