Movable Type 5.2.8 及び 5.16 は、Movable Type 5 で確認されたセキュリティ問題の修正バージョンです。

概要

Movable Type 5.2.7 および 5.15 を含む以前のバージョンでは、リッチテキストエディタに起因する、クロスサイトスクリプティング（XSS）が発生する可能性があります。

想定される影響

遠隔の第三者が特定の操作をおこなうことで、ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

影響を受けるバージョン

以下の各製品の、5.2.7 および 5.15 を含む以前のバージョン。

• Movable Type Open Source 5.x
• Movable Type 5.x (Professional Pack, Community Pack を同梱)
• Movable Type Advanced 5.x

バージョンの確認方法

Movable Type の管理画面に、システム管理者としてサインインし、システムメニューから『ツール』> 『システム情報』を選択して、Movable Type のバージョンを確認してください。

対策方法

問題の対象となるバージョンをお使いの場合は、2013年10月17日に公開された、以下の修正済みのバージョンにアップグレードしてください。

提供を開始するバージョン

• Movable Type Open Source 5.16
• Movable Type Open Source 5.2.8
• Movable Type 5.16 (Professional Pack, Community Pack を同梱)
• Movable Type 5.2.8 (Professional Pack, Community Pack を同梱)
• Movable Type Advanced 5.16
• Movable Type Advanced 5.2.8

Thanks to

脆弱性に関するレポートをいただいた、malaさんに感謝いたします。