Movable Typeのmt-upgrade.cgiプログラムの欠陥により任意のコードを実行される脆弱性(CVE-2013-0209)に関する検証レポートMovable Typeのmt-upgrade.cgiプログラムの欠陥により任意のコードを実行される脆弱性(CVE-2013-0209)に関する検証レポート Tweet 2013/01/28 NTTデータ先端技術株式会社 辻 伸弘 渡邊 尚道 【概要】 Movable Typeに、リモートより任意のコードを実行される脆弱性が発見されました。 この脆弱性は、アップグレード関連プログラムであるmt-upgrade.cgiにて使用さている、lib/MT/Upgrade.pm関数の、エスケープ処理に不備があるために発生します。 この脆弱性を悪用して、攻撃者はターゲットホスト上にて、Webサーバの動作権限で任意のOSのコマンドおよびSQLクエリを実行することが可能です。 今回、このMovable Typeのmt-upgrade.cgiプログラムの欠陥により任意のコードを実行される脆弱性(CVE-
