proxy代理   norton 诺顿病毒库   代理列表   search FTP搜索   whois IP地理位置   blog 追求完美  
soft 软件   firefox WEB浏览器   免费域名   typeset 假古文   AntiVirus 反病毒   ipcn 站点导航  

« openclaw-weixin openclaw 微信官方支持 | Main

May 20, 2026

更新到 Movable Type 8.8.4

版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。
https://windtear.net/2026/05/upgrade_to_movable_type_884.html

修复两个严重的安全漏洞 CVE-2026-25776 CVE-2026-33088
https://movabletype.org/news/2026/04/mt-907-released.html

没给执行权限
-rw-r--r-- 1 root root 351 Jun 14 2024 mt-data-api.cgi

-rwxr-xr-x root:root mt.cgi ← 唯一可执行
-rw-r----- root:nobody mt-config.cgi ← Apache 可读、不可写、外人不可见
-rw-r--r-- root:root mt-cdsearch.cgi
-rw-r--r-- root:root mt-check.cgi
-rw-r--r-- root:root mt-data-api.cgi
-rw-r--r-- root:root mt-search.cgi
-rw-r--r-- root:root mt-upgrade.cgi
-rw-r--r-- root:root mt-wizard.cgi

CVE-2026-25776 -- Filter Processing 远程代码执行

CWE

• 项: CWE

• 值: CWE-94 Code Injection(任意 Perl 代码执行)

CVSS 3.0

• 项: CVSS 3.0

• 值: 9.8 CRITICAL(JPCERT/CC 评分)

向量

• 项: 向量

• 值: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

报告人

• 项: 报告人

• 值: Sho Odagiri @ GMO Cybersecurity by Ierae

向量逐字段拆解:

- AV:N Network -- 网络可达即可触发
- AC:L Low -- 攻击复杂度低
- PR:N No Privileges Required -- 完全无需认证
- UI:N No User Interaction -- 不需要诱导用户点击什么
- C:H / I:H / A:H -- 全部高影响(机密性、完整性、可用性)


CVE-2026-33088 -- Request Processing SQL 注入

CWE

• 项: CWE

• 值: CWE-89 SQL Injection

NIST CVSS 3.1

• 项: NIST CVSS 3.1

• 值: 9.8 CRITICAL

JPCERT CVSS 3.0

• 项: JPCERT CVSS 3.0

• 值: 7.3 HIGH

NIST 向量

• 项: NIST 向量

• 值: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

NIST 和 JPCERT 评分有分歧(9.8 vs 7.3)----这种分歧通常意味着:
- JPCERT(厂商侧)认为受限/部分场景才能造成完全破坏
- NIST 按"最坏情况"评估给了 9.8

但两边都打了 PR:N,匿名可触发这一点没有争议。

协调披露(Coordinated Disclosure / Responsible Disclosure)流程的标准时间线,不是异常:

时间线复盘

2026-03-06 "Prepare asset files" (Kenichi Ishigaki)
2026-03-17 Merge release-8.8.3 → release-8.8.4
2026-03-23 tag mt8.8.4 (内部发布)

~2-4 周 embargo 期

2026-04-08 公开 advisory + CVE 编号 + JVN 公告
2026-04-?? 后 公开 8.8.4 (advisory 列在侧栏的 "9.0.8, 8.8.4 and 8.0.11")

这是 JPCERT 协调披露的标准流程:

1. 私密报告:研究员(Sho Odagiri @ GMO Cybersecurity)发现漏洞,私下报告给 SixApart
2. JPCERT 协调:JPCERT/CC 介入做协调(advisory 里说"reported... and coordinated")
3. 厂商修复:SixApart 在私有仓库或受控分支上开发补丁(这就是 3 月那批 commit)
4. 预通告:JPCERT 通知主要 stakeholder(大客户、托管商、安全厂商),让他们先准备
5. CVE 申请:拿到 CVE-2026-25776 / CVE-2026-33088 编号
6. 统一发布:embargo 解除日(4 月 8 日),所有渠道同步公布----advisory、git push、JVN、NVD

git push 也是在解除 embargo 那一刻才推到 GitHub 公开仓库的
本blog WWW

Posted by windtear at May 20, 2026 11:13 PM

本站使用中的任何问题,请与 windtear @ windtear.net 联系
Copyright© 1999-2025 Windtear. All rights reserved.