ブログ管理ソフトに脆弱性 任意のスクリプトを実行
情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は6日、米シックス・アパートが提供するコンテンツ管理システム「Movable Type(ムーバブルタイプ)」に脆弱性が存在すると公表した。
Movable Typeは、ブログ管理用のソフトとして広く使われている。ブログ同士を関連付ける「トラックバック」という仕組みを初めて実装したソフトとしても知られる。
脆弱性が存在するバージョンは「Movable Type 7 r.4603とそれ以前」「Movable Type Advanced 7 r.4603とそれ以前」など。コンテンツの編集に使う「ブロックエディタ」と「リッチテキストエディタ」に、攻撃者が任意のスクリプトを埋め込んでユーザーに実行させられる「クロスサイトスクリプティング」の脆弱性があった。シックス・アパートは、この脆弱性を修正した新バージョンを既に公開している。
(日経クロステック/日経NETWORK 大森敏行)
[日経クロステック 2020年2月6日掲載]