IPA/「Movable Type」における複数のクロスサイト・スクリプティングの脆弱性

2021年8月30日

省庁・団体名

独立行政法人情報処理推進機構

内容

　IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2021年8月25日に「『Movable Type』における複数のクロスサイト・スクリプティングの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要
・シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。

・「Movable Type」には、次に挙げる複数のクロスサイト・スクリプティングの脆弱性が存在します。
▽ 検索画面におけるクロスサイト・スクリプティング - CVE-2021-20808
▽ 記事、ウェブページ、コンテンツタイプの新規作成画面におけるクロスサイト・スクリプティング - CVE-2021-20809
▽ サイト管理画面におけるクロスサイト・スクリプティング- CVE-2021-20810
▽ アセットの一覧画面におけるクロスサイト・スクリプティング- CVE-2021-20811
▽ サーバ配信の設定画面におけるクロスサイト・スクリプティング- CVE-2021-20812
▽ コンテンツデータ入力画面におけるクロスサイト・スクリプティング- CVE-2021-20813
▽ ContentType Information Widget プラグインの設定画面におけるクロスサイト・スクリプティング - CVE-2021-20814
▽ 記事の定型文の編集画面におけるクロスサイト・スクリプティング- CVE-2021-20815

・当該製品にログインした状態のユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。

・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、2021年7月20日に IPA が JPCERT/CC 経由で製品開発者自身から届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちら をご覧ください。
※もしくは、https://jvn.jp/jp/ から「JVN#97545738」を参照

本件に関するお問合せ先

IPA セキュリティセンター
E-mail：vuln-inq@ipa.go.jp

一般社団法人JPCERTコーディネーションセンター
E-mail：vultures@jpcert.or.jp

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。