Movable Typeにクロスサイトスクリプティングの脆弱性

　独立行政法人 情報処理推進機構セキュリティセンター（IPA/ISEC）および有限責任中間法人 JPCERT コーディネーションセンター（JPCERT/CC）は4月24日、シックス・アパートが提供するブログシステム「Movable Type」にクロスサイトスクリプティングの脆弱性が存在すると公表した。この問題は、過去に公表された脆弱性とは異なるものだという。

　今回確認された脆弱性は、「Movable Type 4.24（Professional Pack、Community Packを同梱）」「Movable Type Commercial 4.24（Professional Packを同梱）」「Movable Type 4.24 Enterprise」「Movable Type 4.24（Open Source）」に存在する。また「Movable Type 4.25」でも、グローバルテンプレートの初期化がされていない場合は同様に影響を受ける。

　この脆弱性が悪用されると、悪意ある利用者によって細工されたページをユーザーが読み込んだ場合、ユーザーのブラウザ上で任意のスクリプトを実行される可能性がある。シックス・アパートでは、この脆弱性を解消する新バージョンを公開しており、バージョンアップするよう呼びかけている。なお、一部のパッケージではグローバルテンプレートの初期化が必要となる。

　JVNではこの脆弱性の危険度を以下のように分析している。

• 攻撃経路：インターネット経由からの攻撃が可能（高)
• 認証レベル：匿名もしくは認証なしで攻撃が可能（高）
• 攻撃成立に必要なユーザーの関与：リンクをクリックしたり、ファイルを閲覧するなどのユーザー動作で攻撃される（中）
• 攻撃の難易度：専門的知識や運がなくとも攻撃可能（高）