Published: 2025-02-21 08:00
Movable Type に複数の XSS の脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月19日、Movable Typeにおける複数のクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。小岩井乳業株式会社のイ ボムソク氏が報告を行っている。影響を受けるシステムは以下の通り。
Movable Type
8.4.1 およびそれ以前(8.4.x系)
8.0.5 およびそれ以前(8.0.x系)
Movable Type Advanced
8.4.1 およびそれ以前(8.4.x系)
8.0.5 およびそれ以前(8.0.x系)
Movable Type Premium 2.06 およびそれ以前(2.x系)
Movable Type Premium (Advanced Edition) 2.06 およびそれ以前(2.x系)
Movable Type クラウド版 8.4.1 およびそれ以前(8.x系)
Movable Type Premium クラウド版 2.06 およびそれ以前(2.x系)
シックス・アパート株式会社が提供するMovable Typeには、下記の影響を受ける可能性がある複数のクロスサイトスクリプティングの脆弱性が存在する。
・MTブロックエディタのカスタムブロック編集画面における格納型クロスサイトスクリプティング(CVE-2025-22888)
□当該製品の管理画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される
・MTブロックエディタのHTML編集モードにおける格納型クロスサイトスクリプティング(CVE-2025-24841)
※リッチテキストエディタとしてTinyMCE6を使用している場合
□当該製品の管理画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される
| # | 言葉 | 意味 |
|---|---|---|
| 9 | および | および (及び) : and; as well as |
| 8 | 以前 | いぜん (以前) : ago; since; before; previous |
| 8 | 系 | けい (系) : 1. system; lineage; group 2. corollary |
| 3 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 3 | 画面 | がめん (画面) : 1. screen (of a TV, computer, etc.) 2. image (on a screen); picture; scene |
| 2 | 複数 | ふくすう (複数) : plural; multiple; several |
| 2 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 2 | 株式会社 | かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK |
| 2 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 2 | 版 | はん (版) : 1. edition; version; printing; impression; implementation (e.g. software) 2. plate; block; cast |
| 2 | 編集 | へんしゅう (編集) : editing; compilation |
| 2 | 格納 | かくのう (格納) : 1. storage; housing for equipment and machines 2. putting into computer memory |
| 2 | 型 | かた (型) : 1. model; type (e.g. of machine, goods, etc.) 2. type; style; pattern |
| 2 | 当該 | とうがい (当該) : appropriate (e.g. authorities); concerned; relevant; said; aforementioned; competent; applicable; respective |
| 2 | 製品 | せいひん (製品) : manufactured goods; finished goods; product |
| 2 | 管理 | かんり (管理) : control; management (e.g. of a business) |
| 2 | 任意 | にんい (任意) : 1. optional; voluntary; arbitrary; random; discretionary; facultative; spontaneous; any 2. arbitrary |
| 2 | 実行 | じっこう (実行) : execution (e.g. of a plan); carrying out; practice; action; implementation; fulfillment; realization |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 小岩井 | こいわい (小岩井) : Koiwai (place; surname) |
| 1 | 乳業 | にゅうぎょう (乳業) : dairy industry |
| 1 | 氏 | うじ (氏) : 1. family name; lineage; birth 2. clan |
| 1 | 報告 | ほうこく (報告) : report; information |
| 1 | 行う | おこなう (行う) : to perform; to do; to conduct oneself; to carry out |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 1 | 下記 | かき (下記) : the following |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 使用 | しよう (使用) : use; application; employment; utilization; utilisation |