Movable Type 6.8.7 リリースノート
以下のセキュリティ上の修正とバグフィックスを行っています。
セキュリティ上の修正、改善
- [MTC-28496] XMLRPC API を経由した不正なリクエストにより、組み込みコマンドやシェルコマンドの限定的な実行が可能な問題を修正しました (CVE-2022-38078)
修正された問題
- [MTC-28475] スマートフォン用の記事編集画面で、カテゴリ選択の UI が表示されず選択ができない不具合を修正しました
【2022/8/31 追記】
AMI版
- 指定日投稿などに利用している run-periodic-tasks が動作しない問題を修正しました(/etc/cron.d/movabletype のパーミッションの設定を修正)
- /etc/logrotate.d/movabletype のパーミッションの設定を修正し、logrotate が正常に行われない問題を修正しました
- Amazon Linux 2 / Apache 版で、PHP 7 をバージョンアップしたときに PHP が正常に動作しなくなることがある問題を修正しました
謝辞
リリースにあたり不具合の報告や機能要望をしていただいた皆様すべてに感謝します。また特に次の皆様には、個別に感謝します。
[MTC-28496] 大阪経済大学
[MTC-28496] 株式会社ブロードバンドセキュリティ 志賀 拓馬 氏
脆弱性情報のハンドリングにご協力いただいた IPA、JPCERT/CC に感謝します。