Movable Typeで制作したサイトをモバイル端末に最適化するプラグイン「ケータイキット for Movable Type」の開発元、アイデアマンズ株式会社は2016年4月23日付で、同プラグインに重大な脆弱性と、修正パッチの提供を開始したことを発表した。

旧バージョンは画像を最適化する処理内にOSコマンドインジェクションの脆弱性があり、悪意を持った訪問者によってサーバーを外部から操作することが可能となっていた。
前日の23日、株式会社J-WAVEが64万件の個人情報が流出した原因が「ケータイキット for Movable Type」であることを公開しており、これを受けての修正バージョンとなる。

J-WAVE、コマンドインジェクション攻撃による不正アクセス、個人情報64万件が流出した恐れ -INTERNET Watch

アイデアマンズ株式会社から、バージョン1.35から最新のバージョン1.641までの全修正版がリリースされているので、該当プラグインを導入しているサイトは早急なメンテナンスを行ってほしい。

プレスリリース - 【重要】追記:バージョンごとのパッチファイルを公開。 ケータイキット for Movable Type 1.65 の提供を開始 | アイデアマンズ株式会社

すでに不正アクセスを受けている検証するチェックツールも、同社より無償配布されている。

プレスリリース - 【重要】ケータイキット for Movable Typeの脆弱性により設置された不正ファイルの詳細検査するツールを提供 | アイデアマンズ株式会社


ニュースの詳細はこちら

「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用 -INTERNET Watch

免責事項

当記事は掲載時点の内容であり、予告なく変更されている可能性があります。引用元の詳細ページで最新情報をご確認ください。
発表されたプレスリリースの一部となり、すべて掲載してはおりません。あらかじめご了承ください。
このコンテンツは、各CMSコミュニティの許諾を得て配信しています。詳しくはサイトポリシーを参照ください。