2008年8月6日付けでMovable Type 4.2 RC5とセキュリティアップデートが提供されている。
Movable Typeでクロスサイトスクリプティングによる脆弱性が確認され、その修正バージョンとのこと。
対応する各バージョンへのアップデートを強く推奨している。
以下、サイトから
●影響のあるバージョン
Movable Type 4、3、Enterprise、Community Solution
●脆弱性の内容
Movable Type の特定の機能に関して、以下の脆弱性が存在します。
アプリケーションの一部において、適切に入力エスケープされないため、クロスサイトスクリプティングが発生しうる
特定の古いブラウザにおいて、文字エンコーディングが正しく処理されないため、アプリケーションの一部においてクロスサイトスクリプティングが発生しうる
アプリケーションの一部において、CSRF (クロスサイトリクエストフォージェリ) が発生しうる
詳しくはサイト参照のこと。
コメントする