Movable Type CMSプラットフォーム Movable Type
ドキュメントサイト

Release Notesリリースノート

Movable Type 6.3.12 リリースノート

このバージョンでは複数のセキュリティ上の問題の解決や改善が含まれています。

修正された問題

セキュリティ上の修正、改善

  • [MTC-27147] __mode=rebuild のクロスサイトスクリプティングを修正しました - CVE-2020-5575
  • [MTC-27146] __mode=start_rebuild のクロスサイトリクエストフォージェリに対応しました - CVE-2020-5576
  • [MTC-27144] テンプレート一覧画面のクロスサイトスクリプティングを修正しました - CVE-2020-5575
  • [MTC-27143] ログイン画面を経由したクロスサイトリクエストフォージェリに対応しました - CVE-2020-5576
  • [MTC-27142] 二重拡張子の PHP ファイルがアップロードできてしまう問題を修正しました - CVE-2020-5577
  • [MTC-27141] __mode=recover に存在したオープンリダイレクトの問題を修正しました - CVE-2020-5574
  • [MTC-27140] __mode=start_rebuild ページのクロスサイトスクリプティングに対応しました - CVE-2020-5575

Thanks To

このリリースには Movable Type コミュニティーを始め、様々な方から報告された多くのバグ修正、パッチの提供が取り込まれています。パッチおよびレポートを提供してくださった方々の名前は以下の通りです。皆様のご協力に感謝します!(順不同、敬称略)

  • 三井物産セキュアディレクション株式会社 米山 俊嗣、情報処理推進機構 IPA、JPCERT/CC, - MTC-27147、MTC-27146、MTC-27144、MTC-27143、MTC-27141、MTC-27140
  • 三井物産セキュアディレクション株式会社 東内 裕二、情報処理推進機構 IPA, JPCERT/CC, - MTC-27142
  • Lift - MTC-27141