【重要なお知らせ】MTプラグインA-Form・A-Member・A-Reserveの脆弱性について（2013年10月11日 三版）

平素はアークウェブのMovable Typeプラグインをご利用いただき、誠にありがとうございます。

弊社のMTプラグインA-Form、A-Member、A-Reserveに脆弱性が確認されました。重要なお知らせですので、該当製品をご利用の場合は最後までお読みください。

この記事では、脆弱性の内容、影響する製品とバージョン、導入済みのお客様に行っていただきたいことについて記載しています。（2013年10月11日 19時34分更新）

脆弱性の内容について

A-Form、A-Member、A-Reserveの機能であるフォームの自動疎通テスト を行えるソフトウェア「Selenium」内のファイルや、それを利用するスクリプト「selenium_test.cgi」で任意の外部ページなどを読み込むことができてしまいます。 これにより、外部のウェブページへのリダイレクトや、悪意あるスクリプトの実行が可能なクロスサイトスクリプティング（XSS）脆弱性があることがわかりました。

影響するバージョンについて

Seleniumによる自動疎通テスト機能を付けたバージョンであるA-Form Bamboo 1.3.1（2009年11月リリース）から、この脆弱性が存在していたことが判明しました。

該当する製品は以下の通りです。

• A-Form Bamboo 1.3.x
• A-Form Bamboo 2.x
• A-Form PC 3.x
• A-Form PC/Mobile 3.x
• A-Member 3.x
• A-Reserve 3.x

脆弱性への対処方法について

以下のディレクトリーにあるファイル類を削除してください。

1. （MTのインストールディレクトリ）/plugins/AForm/selenium_test.cgi のselenium＿test.cgiファイル　　
2. （MTのインストールディレクトリ）/mt-static/plugins/AForm/selenium-core-1.0.1/ の/selenium-core-1.0.1/ 以下すべて

対処についてのご注意

• （17時15分更新）この記事の初稿では「Seleniumによる自動疎通テスト機能を使う場合は、Movable TypeをインストールしたディレクトリーにBASIC認証などの認証をかける」という方法も記載していましたが、この方法ではA-Formが使用する他のスクリプトにも影響を与えてしまうため、取り消します。従って、やむを得ず自動疎通テストは使用不可となりますが、ご了承ください。
• （19時31分更新）この記事の第二稿では「selenium＿test.cgiファイル」の削除のみをご案内していましたが、他の脆弱性も見つかったため、上述の通り「selenium＿test.cgiファイル」と「/selenium-core-1.0.1/以下すべて」の削除をお願いします。

なお、脆弱性を解消した新バージョンについては10月15日(火)にリリースする予定です。

この度は、弊社の品質管理上のミスにより、お客様にご迷惑をお掛けしまして誠に申し訳ありません。また、内容の変更により度々お手間をお掛けしますことについても併せて深くお詫び申し上げます。