Movable Typeにスパムメールを送信してしまう脆弱性 from ITmedia
昨日も書いた Movable Type の脆弱性話。
とりあえず、僕は設定してないので平気かな。対策はこちらから。ちなみに、MT を設置したばかりの ko (= psybaba)氏は、設定していたらしいので対処したそうな。
見つかった脆弱性は、「メール通知」を設定しており、「MailTransfer」の設定値が「sendmail」の場合に発生する。この状態でコメントや表題の部分にある文字列を入力することで任意のアドレスに対してメールが送られてしまうというもの。
プラグインのソースは Perl なので、ちらっと眺めてみましたが、なんとなくわかるようなわからないような。これがパッとわかるようにならないとダメだな。
