Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Movable Type」に複数の脆弱性 - アップデートで修正

シックス・アパートのコンテンツマネジメントシステム(CMS)である「Movable Type」に複数の脆弱性が明らかとなった。

管理画面へログイン後に細工されたURLへアクセスすると任意のスクリプトを実行されるおそれがあるクロスサイトスクリプティング(XSS)の脆弱性「CVE-2022-45122」が判明したもの。

また編集権限を持つユーザーにより「Perl」のスクリプトを実行でき、OSコマンドの実行が可能となるコードインジェクションの脆弱性「CVE-2022-43660」が存在。パスワードリセット画面の特定部分に不正なリンクを設定されるおそれがある「CVE-2022-45113」についても明らかとなった。

共通脆弱性評価システム「CVSSv3.0」のベーススコアを見ると、今回判明した脆弱性において「CVE-2022-43660」がもっとも高く「7.2」、「CVE-2022-45122」が「6.1」、「CVE-2022-45113」が「4.7」と続いている。「CVE-2022-45113」「CVE-2022-45122」については、ブロードバンドセキュリティの志賀拓馬氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。

シックス・アパートでは、「Movable Type 7 r.5401」「同6.8.8」および「同Premium 1.54」をリリース。それぞれAdvanced版にもアップデートを用意した。脆弱性の修正のほか、機能の改善なども実施している。

(Security NEXT - 2022/11/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Apache Tomcat」に脆弱性 - 過去の修正が不完全で
「NSX-T」にXSS脆弱性、アップデートがリリース
未知の脆弱性で生じた通信障害、NTT東西に行政指導
借り受けた国民年金納付者リストを紛失 - 可児市
顧客情報含む書類約3200件が所在不明 - 大阪府内の郵便局
学生のクラウドアカウントに不正アクセス - 沖縄県立看護大
Samsung製スマホなどの既知脆弱性が攻撃の標的に - 米政府が注意喚起
複数Apple製品が影響を受ける脆弱性 - 米政府が注意喚起
柏崎刈羽原発の火災防護関連資料を紛失 - 東電
DMハガキ宛先にクレカ番号を誤印字 - 三井住友カード