MTにXSSの脆弱性(!)
MT3.2以前とMT EnterpriseにはXSSの脆弱性が存在する。管理画面や検索機能、コメント機能においてWebページを出力する際の処理が不適切なため、悪意あるページを通じて任意のスクリプトを実行され、個人情報を盗み見られたり、セッションハイジャックにつながる恐れがあるとのこと。
Webアプリケーションの脆弱性については様々なものがあるが、XSSについてはアプリケーションフレームワークで対応可能なものだ。これらの対応はセッションハイジャックやSQLインジェクションと並んでキホンの「キ」だ。とあるリサーチレポートでは、国内の約半分のEコマースサイトがなんらかの脆弱性があるという。Sixapartはその辺のセキュリティ技術を早くキャッチアップしたほうがよい。加えて、パフォーマンス問題も。
コンシューマメインだからなめているのか意識レベルの問題か。ダサすぎておもわず笑ってしまった。手伝ってあげようか?
▼ 関連リンク
Movable Type 新バージョンとパッチの提供について
