Movable TypeのCSRF修正 (詳細不明)
2011年5月26日(木曜日)
Movable TypeのCSRF修正 (詳細不明)
公開: 2011年5月29日22時25分頃
MTにセキュリティアップデートが登場しているようで。
- [重要] Movable Type 5.1 および、5.05、4.29 セキュリティーアップデートの提供を開始 (www.movabletype.jp)
Movable Type 5.04 および 4.28 を含む以前のバージョンでは、アプリケーション上の入力項目の一部において、適切に入力エスケープ処理されないため、クロスサイトスクリプティング(XSS)および クロスサイトリクエストフォージェリ(CSRF)が発生する可能性があります。Movable Type 4 および Movable Type 5 のすべてのバージョンの、修正版へのアップグレードを強く推奨します。
以上、セキュリティアップデートの概要 より
例によって詳細が良く分かりませんが、CSRFは結構まずい可能性がありますね。このCSRFで何ができるのかが分からないのですが、内容によっては最優先で対応する必要があるかもしれません。
しかし、例によって詳細が良く分かりません。利用の方法も様々ですから、場合によってはコストをかけてまでアップデートする必要はない可能性もありますが、詳しいことが分からないと影響もよく分からないですね。
- 「Movable TypeのCSRF修正 (詳細不明)」にコメントを書く
関連する話題: セキュリティ / Movable Type
