Movable TypeのSQLインジェクション

公開: 2010年12月12日20時10分頃

Movable Typeに脆弱性だそうで、アップデートが提供されています。

XSSは良くありましたが、SQLインジェクションとは珍しいですね。「「Movable Type」におけるセキュリティ上の弱点（脆弱性）の注意喚起 (www.ipa.go.jp)」によると、本件はベンダー自ら報告したもののようで。

本脆弱性情報は、2010年12月2日にIPAが製品開発者自身から脆弱性および対策情報の連絡を受け、JPCERT/CCが製品開発者と調整を行い、本日公表したものです。

しかしそのわりに、肝心な脆弱性に関する情報はあんまり詳しく出ていないですね。カスタマイズして導入しているケースもありますので、影響範囲や攻撃が成立する条件、回避策の有無くらいは公表してほしいところなのですが……。まあ、ソースコードを調べれば分かるといえば分かるのですけどね。

※しかしめんどくさい。