製品・ソフトウェアに関する情報

JVN脆弱性詳細

Movable Type におけるクロスサイトスクリプティングの脆弱性

タイトル	Movable Type におけるクロスサイトスクリプティングの脆弱性
概要	Movable Type には、クロスサイトスクリプティングの脆弱性が存在します。シックス・アパート株式会社が提供しているウェブログシステム Movable Type には、管理画面の処理に問題があり、クロスサイトスクリプティングの脆弱性が存在します。なお、本脆弱性は JVN#30385652 とは異なる問題です。本件に関する追加修正版が 2008年12月3日にリリースされました。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。報告者: 株式会社ビジネス・アーキテクツ坂井隆二氏、吉野友人氏、太田良典氏
想定される影響	当該製品のブログ管理者のウェブブラウザ上で任意のスクリプトを実行される可能性があります。
対策	[アップデートする] ベンダが提供する情報をもとに最新版へアップデートしてください。
公表日	2008年10月17日0:00
登録日	2008年10月17日15:02
最終更新日	2011年5月31日10:35

影響を受けるシステム

シックス・アパート株式会社

Movable Type (community_solution) 4 (4.22 およびそれ以前のバージョン)

Movable Type (enterprise) 1.5 (1.55 およびそれ以前のバージョン)

Movable Type (enterprise) 4 (4.22 およびそれ以前のバージョン)

Movable Type 3 (3.37 およびそれ以前のバージョン)

Movable Type 4 (4.22 およびそれ以前のバージョン)

Movable Type 4 (Open Source) (4.22 およびそれ以前のバージョン)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-4634	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4634
National Vulnerability Database (NVD)
2	CVE-2008-4634	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4634

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
MOVABLETYPE NEWS
1	[重要] セキュリティアップデート Movable Type 4.23 の提供を開始	http://www.movabletype.jp/blog/_movable_type_423.html

その他

No	名前	URL
ISS X-Force Database
1	45968	http://xforce.iss.net/xforce/xfdb/45968
JVN
2	JVN#81490697	http://jvn.jp/jp/JVN81490697/index.html
JVN iPedia (English)
3	JVNDB-2008-000072	http://jvndb.jvn.jp/en/contents/2008/JVNDB-2008-000072.html
Secunia Advisory
4	SA32305	http://secunia.com/advisories/32305
SecurityFocus
5	31826	http://www.securityfocus.com/bid/31826

変更履歴

No	変更内容	変更日
0	[2008年10月17日] 掲載 [2008年12月24日] 概要：概要の記述を更新　影響を受けるシステム：シックス・アパート ([重要] セキュリティアップデート Movable Type 4.22 の提供を開始) の情報を更新 [2011年05月31日] ベンダ情報：シックス・アパート ([重要] セキュリティアップデート Movable Type 4.23 の提供を開始) の情報を更新	2018年2月17日10:37

NVD脆弱性情報

CVE-2008-4634

概要	Cross-site scripting (XSS) vulnerability in Movable Type 4 through 4.21 allows remote attackers to inject arbitrary web script or HTML via unknown vectors related to the administrative page, a different vulnerability than CVE-2008-4079.
公表日	2008年10月21日10:18
登録日	2021年1月29日13:43
最終更新日	2017年8月8日10:32

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:six_apart:movable_type:4:::::::*
cpe:2.3:a:six_apart:movable_type:4:unknown:community_solution:::::*
cpe:2.3:a:six_apart:movable_type:4:unknown:enterprise:::::*
cpe:2.3:a:six_apart:movable_type:4:unknown:open_source:::::*
cpe:2.3:a:six_apart:movable_type:4.20:::::::*
cpe:2.3:a:six_apart:movable_type:4.20:unknown:community_solution:::::*
cpe:2.3:a:six_apart:movable_type:4.20:unknown:enterprise:::::*
cpe:2.3:a:six_apart:movable_type:4.20:unknown:open_source:::::*

構成1	以上	以下	より上	未満
cpe:2.3:a:six_apart:movable_type:4:::::::*
cpe:2.3:a:six_apart:movable_type:4:unknown:community_solution:::::*
cpe:2.3:a:six_apart:movable_type:4:unknown:enterprise:::::*
cpe:2.3:a:six_apart:movable_type:4:unknown:open_source:::::*
cpe:2.3:a:six_apart:movable_type:4.20:::::::*
cpe:2.3:a:six_apart:movable_type:4.20:unknown:community_solution:::::*
cpe:2.3:a:six_apart:movable_type:4.20:unknown:enterprise:::::*
cpe:2.3:a:six_apart:movable_type:4.20:unknown:open_source:::::*

No	URL	refsource	タグ
1	http://jvn.jp/en/jp/JVN81490697/index.html	JVN
2	http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-000072.html	JVNDB
3	http://secunia.com/advisories/32305	SECUNIA	Vendor Advisory
4	http://www.securityfocus.com/bid/31826	BID
5	http://www.sixapart.jp/movabletype/news/2008/10/15-1400.html	CONFIRM
6	https://exchange.xforce.ibmcloud.com/vulnerabilities/45968	XF