Movable typeにてクロスサイトスクリプティング (CWE-79)の脆弱性(深刻度5.4Medium/CVSS v3 による深刻度)が確認されました。

ネオワーカーズサポートサイト > ウェブサイト制作サービス > ウェブサイトの運用 > MovableTypeご利用の方 > 【MovableType】お知らせ・脆弱性情報 > Movable typeにてクロスサイトスクリプティング (CWE-79)の脆弱性(深刻度5.4Medium/CVSS v3 による深刻度)が確認されました。
前のページに戻る
一覧に戻る
このページはMovableTypeご利用の方が対象です

このページは、2023年10月30日に作成したページです。
このページに掲載しているMovableTypeの仕様・機能・操作手順は、現在リリースされている最新バージョンのMovableTypeと異なる場合がございます。

このページに掲載している
MovableTypeのバージョン:
MovableTypeMovable Type 7 r.5405 およびそれ以前他

Movable typeにてクロスサイトスクリプティング (CWE-79)の脆弱性(深刻度5.4Medium/CVSS v3 による深刻度)が確認されました。

 

脆弱性の概要

 

Movable Type 7系において、クロスサイトスクリプティング (CWE-79)の脆弱性が確認され、開発元のシックス・アパート株式会社は製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

[重要] Movable Type 7 r.5501 / Movable Type Premium 1.59 の提供を開始(セキュリティアップデート)

クロスサイトスクリプティング(XSS)とは

クロスサイトスクリプティング(XSS)は、代表的なサイバー攻撃の一つで、悪質のあるスクリプトをWebアプリケーションに注入します。これはフォームにコードを入力するといった形で実行されるケースが多いです。注入されたページに訪れたユーザーは、入力された情報に加えCookie情報などを攻撃者に送られる可能性があります。

対象となるMovableType

  • Movable Type 7 r.5405 およびそれ以前 (Movable Type 7系)
  • Movable Type Premium クラウド版 1.58 およびそれ以前
  • Movable Type クラウド版 7 r.5405 およびそれ以前 (Movabe Type 7系)
  • Movable Type Advanced 7 r.5405 およびそれ以前 (Movable Type Advanced 7系)
  • Movable Type Premium 1.58 およびそれ以前
  • Movable Type Premium Advanced 1.58 およびそれ以前

次のバージョン以降にアップデートしてください

この脆弱性に対応したバージョンが公開されていますので、最新版にアップデートしてください。

  • Movable Type 7 r.5501 (Movable Type 7系)
  • Movable Type Advanced 7 r.5501 (Movable Type Advanced 7系)
  • Movable Type Premium 1.59
  • Movable Type Premium Advanced 1.59
  • Movable Type クラウド版 7 r.5501
  • Movable Type Premium クラウド版 1.59

対策作業について

ご利用中のMovableTypeバージョンに該当する対策を実施してください。

 

保守契約をご利用のお客様または納品後3か月以内のお客様

ご利用中のMovableTypeが7又は6.5.x以降の場合

当社でアップデート作業を行います。(追加費用なし)

アップデート作業は、予めスケジュールを決定しテストサイトにて十分検証した上で、本番サイトを更新します。

これら一連の作業スケジュールについては、担当者よりお客様へご連絡いたします。

ご利用中のMovableTypeが6.3.x以前の場合

アップデートバージョンのMovableTypeに対する保守契約はございません。

納品後3か月以上のお客様で保守契約をご利用されていないお客様

ご利用中のMovableTypeに応じた対策をお客様で行ってください。

ご利用中のMovableTypeが7又は6.5.x以降の場合

お客様ご自身でアップデート作業を行ってください。また、テストサイトにて十分検証した上でアップデートしてください。万が一アップデートによりウェブサイトに不具合が発生しても当社ではその責を負う事は出来ません。予めご了承ください。

 

MovableTypeソフトウェア版の最新版のダウンロードについて

MovableTypeソフトウェア版はライセンス購入から1年間、最新バージョンのダウンロードとメールによるテクニカルサポートが提供されています。1年を過ぎた場合、年間メンテナンスライセンスを購入する事で、継続されます。もし、1年を過ぎて年間メンテナンスライセンスを購入していない場合は、再度初回ライセンス購入が必要となります。

 

保守契約同様のアップデート作業を依頼する事も可能です。

保守契約同様のアップデート作業を弊社が行う事も可能ですが、別途費用が必要となります。お見積りをしますので、当社までお問合せください。 お見積り費用は、お客様のウェプサイトの事情によって変わりますので、こちらでの明示はしていません。(参考料金 : 5,5000円~)

ご利用中のMovableTypeが6.3.x以前の場合

これを機会に最新版のMovableTypeへアップグレードする事をお勧めしますが、予算の関係上難しい場合はリスクを承知の上でご利用してください。

万が一脆弱性の放置により、お客様に損害が生じても当社ではその責を負う事は出来ません。予めご了承ください。

Movable typeにてクロスサイトスクリプティング (CWE-79)の脆弱性(深刻度5.4Medium/CVSS v3 による深刻度)が確認されました。の関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。

前のページに戻る
一覧に戻る

カテゴリー

All Rights Reserved Neoworkers

HTML Snippets Powered By : XYZScripts.com