漏洞名称: 多种跨站点脚本漏洞存在于Movable Type中 (JVN#97545738) 影响产品和版本 - Movable Type 7 r.4903及更早版本 (Movable Type 7 Series) - Movable Type 6.8.0及更早版本 (Movable Type 6 Series) - Movable Type Advanced 7 r.4903及更早版本 (Movable Type Advanced 7 Series) - Movable Type Premium 1.44及更早版本 - Movable Type Premium Advanced 1.44及更早版本 漏洞描述: Movable Type中存在多种跨站点脚本漏洞,详情如下 - 在搜索屏幕中的跨站点脚本漏洞 (CVE-2021-20808) - 在创建条目、页面和内容类型的屏幕中的跨站点脚本漏洞 (CVE-2021-20809) - 在网站管理屏幕中的跨站点脚本漏洞 (CVE-2021-20810) - 在资产列表屏幕中的跨站点脚本漏洞 (CVE-2021-20811) - 在服务器同步设置屏幕中的跨站点脚本漏洞 (CVE-2021-20812) - 在内容数据编辑屏幕中的跨站点脚本漏洞 (CVE-2021-20813) - 在内容类型信息Widget插件设置屏幕中的跨站点脚本漏洞 (CVE-2021-20814) - 在模板编辑屏幕中的跨站点脚本漏洞 (CVE-2021-20815) 漏洞严重性 - 基础分值: CVSS 3.0评分范围为2.6到6.1 影响: 任意脚本可能在登录用户的Web浏览器上被执行。 解决方案: 更新软件至最新版本,并参考开发人员提供的信息。 厂商状态: Six Apart Ltd. - 易受攻击, 最后更新日期: 2021/08/25, 注释: 六要株式会社网站。 参考: 包括JPCERT/CC的补充信息,以及由JPCERT/CC进行的漏洞分析。