WordPressの脆弱性を受け、Movable Type の安全性について発表(シックス・アパート)
シックス・アパートは、WordPressの脆弱性の発表を受け、Movable Type Data API の安全性について発表した。
脆弱性と脅威
セキュリティホール・脆弱性
同社が提供する「Movable Type(バージョン6.0以降)」が搭載している Data API もREST API形式のAPIであり、これを利用することで、公開されていない記事を取得したり、更新や削除を行うことが可能となる。ただし、これらのエンドポイントへのリクエストでは、まずはじめに認証情報のチェックが行われ、適切な認証情報が付与されていないリクエストはすべてこの段階で拒否される。
また、ユーザ権限によるデータへのアクセスチェックについても、管理画面と同様の仕組みで(管理画面でのアクセスと同様に)行われているので、Movable Typeは安全に利用できるとしている。
《吉澤 亨史( Kouji Yoshizawa )》