CMS「Movable Type」にフィッシングなどに遭う脆弱性(JVN) | ScanNetSecurity
2020.06.03(水)

CMS「Movable Type」にフィッシングなどに遭う脆弱性(JVN)

IPAおよびJPCERT/CCは、シックス・アパートが提供するCMSである「Movable Type」に、オープンリダイレクトの脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーデネーションセンター(JPCERT/CC)は11月13日、シックス・アパート株式会社が提供するコンテンツ管理システム(CMS)である「Movable Type」に、オープンリダイレクトの脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは4.7。EGセキュアソリューションズ株式会社の細野英朋氏が報告を行った。影響を受けるシステムは次の通り。

Movable Type 7 r.4602 (7.1.3) およびそれ以前 (Movable Type 7系)
Movable Type 6.5.0 および 6.5.1 (Movable Type 6.5系)
Movable Type 6.3.9 およびそれ以前 (Movable Type 6.3.x系、6.2.x系、6.1.x系、6.0.x系)
Movable Type Advanced 7 r.4602 (7.1.3) およびそれ以前 (Movable Type 7系)
Movable Type Advanced 6.5.0 および 6.5.1 (Movable Type 6.5系)
Movable Type Advanced 6.3.9 およびそれ以前 (Movable Type 6.3.x系、6.2.x系、6.1.x系、6.0.x系)
Movable Type Premium 1.24 およびそれ以前 (Movable Type Premium 系)
Movable Type Premium (Advanced Edition) 1.24 およびそれ以前 (Movable Type Premium 系)

これらのバージョンには、オープンリダイレクトの脆弱性(CVE-2019-6025)が存在する。この脆弱性が悪用されると、細工されたURLにアクセスすることで、任意のWebサイトにリダイレクトされる可能性がある。結果として、フィッシングなどの被害に遭う可能性がある。JVNでは、開発者が提供する情報をもとに、最新版にアップデートするよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

編集長就任10周年記念「宣ベロキャンペーン」中!
編集長就任10周年記念「宣ベロキャンペーン」中!

Scan PREMIUM が半額! こんな時期だからこそセキュリティの未来を考えるオンライン飲み会を開催

×