Movable Typeにスパムメールを送信してしまう脆弱性

Movable Typeにスパムメールの送信を幇助してしまう脆弱性が発見された。ユーザーはモジュールを適用してほしい。

[西尾泰三，ITmedia]

　シックス・アパートは1月25日、同社のMovable Typeに脆弱性が存在することを発表した。この脆弱性を利用するとスパムメールの送信を幇助してしまう現象が発生する。影響を受けるバージョンはMovable Type日本語版の全てのバージョン（バージョン2.661以前のMovable Type英語版でも発生する）。TypePadではこの問題は発生しない。

　見つかった脆弱性は、「メール通知」を設定しており、「MailTransfer」の設定値が「sendmail」の場合に発生する。この状態でコメントや表題の部分にある文字列を入力することで任意のアドレスに対してメールが送られてしまうというもの。

　対策として、すべてのMovable Type日本語版を対象としたモジュール（プラグイン）が提供されている。速やかにモジュールを適用してほしい。

　なお、ダウンロード可能なMovable Type日本語版は、この脆弱性への対策を施したバージョン3.122にアップデートされているほか、1月中に出荷予定だったバージョン3.14については、この脆弱性の修正を行い、バージョン3.15としてリリースされる予定。