ブログ管理ソフトに脆弱性　任意のスクリプトを実行

情報処理推進機構（IPA）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は6日、米シックス・アパートが提供するコンテンツ管理システム「Movable Type（ムーバブルタイプ）」に脆弱性が存在すると公表した。

Movable Typeは、ブログ管理用のソフトとして広く使われている。ブログ同士を関連付ける「トラックバック」という仕組みを初めて実装したソフトとしても知られる。

脆弱性が存在するバージョンは「Movable Type 7 r.4603とそれ以前」「Movable Type Advanced 7 r.4603とそれ以前」など。コンテンツの編集に使う「ブロックエディタ」と「リッチテキストエディタ」に、攻撃者が任意のスクリプトを埋め込んでユーザーに実行させられる「クロスサイトスクリプティング」の脆弱性があった。シックス・アパートは、この脆弱性を修正した新バージョンを既に公開している。

（日経クロステック/日経NETWORK　大森敏行）

［日経クロステック　2020年2月6日掲載］