TECHSIDEより、
ITmedia エンタープライズ:Movable Typeにスパムメールを送信してしまう脆弱性
Movable Type 日本語版サイト: 【重要】 Movable Typeの脆弱性と対策について
NDO::Weblog に、
Movable Type に脆弱性 : NDO::Weblog
プログラムが分かる人がパッチの中身みれば、どうすれば踏み台として使えるかはすぐ分かっちゃう
とちょっと気になったので確認してみた。
前に、うちのフォームメールで同じことやられたから、もしやと思ってたけど、やっぱり
フォームメールの脆弱性を使ったspam - モーグルとカバとパウダーの日記
で書いたのと同じ、パラメータ中に「%0a」で改行して勝手に他のヘッダを付ける、というやり方ですね。
うーん、MTみたいに現役バリバリでメジャーなスクリプトだと、結構影響が大きそう。
そして他にもザクザク同じ脆弱性のあるスクリプトがあるだろうなあ…