Movable Type 用プラグイン「A-Member」および「A-Reserve」における SQL インジェクションの脆弱性について(JVN#78501037)
最終更新日:2017年11月30日
※最新情報は、JVN iPedia(JVN#78501037)をご覧ください。
概要
株式会社アークウェブが提供する「A-Member」および「A-Reserve」は、会員制サイトや予約サイト構築のための機能を提供する Movable Type 用のプラグインです。「A-Member」および「A-Reserve」には、SQL インジェクションの脆弱性が存在します。当該製品を使ったページにアクセス可能な第三者によって、データベース内の情報を取得されたり、改ざんされたりする可能性があります。
攻撃が行われた場合の影響が大きい問題であるため、「A-Member」および「A-Reserve」の利用者はできるだけ早急に開発者が提供する情報をもとに最新版へアップデートしてください。
本脆弱性の深刻度
本脆弱性の深刻度
□ I(注意)
□ II(警告)
■ III(危険)
本脆弱性のCVSS v2基本値7.5
対象
次の製品が対象です。
- A-Member 3.8.6 およびそれ以前
- A-Member for MTクラウド 3.8.6 およびそれ以前
- A-Reserve 3.8.6 およびそれ以前
- A-Reserve for MTクラウド 3.8.6 およびそれ以前
対策
- アップデートする
開発者が提供する情報をもとに最新版へアップデートしてください。
詳しくは、開発者が提供する下記サイトの情報をご確認ください。
- Movable Typeブログ-セキュリティーアップデート:A-Member 3.8.7, A-Reserve 3.8.7をリリース
セキュリティーアップデート:A-Member 3.8.7, A-Reserve 3.8.7をリリース|アークウェブ Movable Typeソリューション本日(2017年11月20日)、Movable Type/Movable Typeクラウド版用プラグインA-Member、A-Reserveの脆弱性対応修正を行ったバージョン3.8.7をリリースしました。 (※A-Formはバージョンアップ...www.ark-web.jp
参考情報
- 「情報セキュリティ早期警戒パートナーシップ」について
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、IPA が届出を受け、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が製品開発者と調整を行ない公表したものです。詳細は、下記の URL を参照ください。
脆弱性関連情報の届出受付 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構情報処理推進機構(IPA)の「脆弱性関連情報の届出受付」に関する情報です。www.ipa.go.jp
本件に関するお問い合わせ先
IPA 技術本部 セキュリティセンター
E-mail:
更新履歴
2017年11月30日 掲載
