IPA/「Movable Type」における複数のクロスサイト・スクリプティングの脆弱性

2021年2月24日

省庁・団体名

独立行政法人情報処理推進機構

内容

　IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2021 年 2 月 24 日に「『Movable Type』における複数のクロスサイト・スクリプティングの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

　◆概要
・シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。
・「Movable Type」には、次に挙げる複数のクロスサイト・スクリプティングの脆弱性が存在します。
▽ ロール権限設定機能画面におけるクロスサイト・スクリプティング- CVE-2021-20663
▽ アイテム登録画面におけるクロスサイト・スクリプティング- CVE-2021-20664
▽ コンテンツフィールドのアイテム追加画面におけるクロスサイト・スクリプティング - CVE-2021-20665

・当該製品にログインした状態のユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。

　◆この脆弱性情報は、2021 年 2 月 2 日に IPA が JPCERT/CC 経由で製品開発者自身から届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

　◆詳細については、こちらをご覧ください。
・「Movable Type」における複数のクロスサイト・スクリプティングの脆弱性
　URL：https://jvn.jp/jp/JVN66542874/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#66542874」を参照

本件に関するお問合せ先

IPA　セキュリティセンター
E-mail：vuln-inq@ipa.go.jp

一般社団法人JPCERTコーディネーションセンター
E-mail：vultures@jpcert.or.jp

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。