クロスサイトスクリプティング（XSS）脆弱性を修正する、Movable Type 6.0.3 / 5.2.10 / 5.17 セキュリティアップデートが配布されました。MTOSでは、5.17と5.2.10がリリースされています。

さらに、このアップデート後に、テンプレートのリフレッシュまたは手動での修正が必要です。

• MTOS-5.17-ja.zip
• MTOS-5.2.10.zip

影響を受けるテーマ

• クラシックブログ
• クラシックウェブサイト
• Pico
• プロフェッショナル ウェブサイト
• プロフェッショナル ブログ
• コミュニティブログ
• コミュニティ掲示板
• Rainier
• Eiger

手動で修正する方法

1. サイドメニューから [デザイン] – [テンプレート] を選択する
2. システムテンプレートの一覧から、[コメント完了] テンプレートを選択する
3. “<$mt:ErrorMessage$>”　タグをテンプレートの中から探し、encode_html=”1” を追加する（9行目付近）

   変更前:
   コメントを投稿できませんでした。エラー: <$mt:ErrorMessage$>
   

   変更後:
   コメントを投稿できませんでした。エラー: <$mt:ErrorMessage encode_html="1"$>
   

   <$MTErrorMessage encode_html="1$>

4. 変更を保存する

Source: [重要] 6.0.3、5.2.10、5.17 セキュリティアップデートの提供を開始 | MovableType.jp