[MT] Movable Type 6.0.3/5.2.10/5.17 セキュリティアップデート

記事内にプロモーションを含む場合があります。

クロスサイトスクリプティング(XSS)脆弱性を修正する、Movable Type 6.0.3 / 5.2.10 / 5.17 セキュリティアップデートが配布されました。MTOSでは、5.17と5.2.10がリリースされています。

さらに、このアップデート後に、テンプレートのリフレッシュまたは手動での修正が必要です。

影響を受けるテーマ

  • クラシックブログ
  • クラシックウェブサイト
  • Pico
  • プロフェッショナル ウェブサイト
  • プロフェッショナル ブログ
  • コミュニティブログ
  • コミュニティ掲示板
  • Rainier
  • Eiger

手動で修正する方法

  1. サイドメニューから [デザイン] – [テンプレート] を選択する
  2. システムテンプレートの一覧から、[コメント完了] テンプレートを選択する
  3. “<$mt:ErrorMessage$>” タグをテンプレートの中から探し、encode_html=”1” を追加する(9行目付近)
    変更前:
    コメントを投稿できませんでした。エラー: <$mt:ErrorMessage$>
    
    変更後:
    コメントを投稿できませんでした。エラー: <$mt:ErrorMessage encode_html="1"$>
    
    <$MTErrorMessage encode_html="1$>
  4. 変更を保存する

Source: [重要] 6.0.3、5.2.10、5.17 セキュリティアップデートの提供を開始 | MovableType.jp