JVNDB-2021-000079

[English]
JVNDB-2021-000079
Movable Type における複数のクロスサイトスクリプティングの脆弱性
概要
シックス・アパート株式会社が提供する Movable Type には、次に挙げる複数のクロスサイトスクリプティングの脆弱性が存在します。・検索画面におけるクロスサイトスクリプティング (CWE-79) - CVE-2021-20808 ・記事、ウェブページ、コンテンツタイプの新規作成画面におけるクロスサイトスクリプティング (CWE-79) - CVE-2021-20809 ・サイト管理画面におけるクロスサイトスクリプティング (CWE-79) - CVE-2021-20810 ・アセットの一覧画面におけるクロスサイトスクリプティング (CWE-79) - CVE-2021-20811 ・サーバ配信の設定画面におけるクロスサイトスクリプティング (CWE-79) - CVE-2021-20812 ・コンテンツデータ入力画面におけるクロスサイトスクリプティング (CWE-79) - CVE-2021-20813 ・ContentType Information Widget プラグインの設定画面におけるクロスサイトスクリプティング (CWE-79) - CVE-2021-20814 ・記事の定型文の編集画面におけるクロスサイトスクリプティング (CWE-79) - CVE-2021-20815 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 6.1 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20808の評価になります。
CVSS v3 による深刻度基本値: 6.1 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20809の評価になります。
CVSS v3 による深刻度基本値: 6.1 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20810の評価になります。
CVSS v3 による深刻度基本値: 6.1 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20811の評価になります。
CVSS v3 による深刻度基本値: 6.1 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20812の評価になります。
CVSS v3 による深刻度基本値: 6.1 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20813の評価になります。
CVSS v3 による深刻度基本値: 6.1 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20814の評価になります。
CVSS v3 による深刻度基本値: 6.1 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20815の評価になります。
影響を受けるシステム

シックス・アパート株式会社 Movable Type 7 r.4903 およびそれ以前 (Movable Type 7系) (CVE-2021-20808, CVE-2021-20809, CVE-2021-20810, CVE-2021-20811, CVE-2021-20813, CVE-2021-20814, CVE-2021-20815) Movable Type 6.8.0 およびそれ以前 (Movable Type 6系) (CVE-2021-20808, CVE-2021-20809, CVE-2021-20810, CVE-2021-20811, CVE-2021-20815) Movable Type Advanced 7 r.4903 およびそれ以前 (Movable Type Advanced 7系) (CVE-2021-20808, CVE-2021-20809, CVE-2021-20810, CVE-2021-20811, CVE-2021-20812, CVE-2021-20813, CVE-2021-20814, CVE-2021-20815) Movable Type Premium 1.44 およびそれ以前 (CVE-2021-20808, CVE-2021-20809, CVE-2021-20810, CVE-2021-20811, CVE-2021-20814, CVE-2021-20815) Movable Type Premium Advanced 1.44 およびそれ以前 (CVE-2021-20808, CVE-2021-20809, CVE-2021-20810, CVE-2021-20811, CVE-2021-20812, CVE-2021-20815)

想定される影響
当該製品にログインした状態のユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
対策
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
ベンダ情報
シックス・アパート株式会社 MOVABLETYPE NEWS : [重要] Movable Type 7 r.5001 / Movable Type 6.8.1 / Movable Type Premium 1.45 の提供を開始、クラウド版に新プラン S150i を追加（セキュリティアップデート）
CWEによる脆弱性タイプ一覧 CWEとは?
クロスサイトスクリプティング(CWE-79) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2021-20808 CVE-2021-20809 CVE-2021-20810 CVE-2021-20811 CVE-2021-20812 CVE-2021-20813 CVE-2021-20814 CVE-2021-20815
参考情報
JVN : JVN#97545738 National Vulnerability Database (NVD) : CVE-2021-20808 National Vulnerability Database (NVD) : CVE-2021-20809 National Vulnerability Database (NVD) : CVE-2021-20810 National Vulnerability Database (NVD) : CVE-2021-20811 National Vulnerability Database (NVD) : CVE-2021-20812 National Vulnerability Database (NVD) : CVE-2021-20813 National Vulnerability Database (NVD) : CVE-2021-20814 National Vulnerability Database (NVD) : CVE-2021-20815
更新履歴
[2021年08月25日] 掲載


公表日	2021/08/25
登録日	2021/08/25
最終更新日	2021/08/25

Movable Type における複数のクロスサイトスクリプティングの脆弱性