TechCrunch Japanese アーカイブ » Tumblrに重大な脆弱性 via kwout

今日はtumblrでブロギングするには良い日ではない。Hacker Newsのある人物が気付いたところによると、Tumblrのユーザーがログインして、簡単な管理画面URLを入れるだけでサイトの管理画面にアクセスできてしまうらしい。

曝されてしまった機能の中には、ユーザー検索やユーザーパスワードのリセットなどもある。さらにはメールアドレスを変更したり、行動ログを見たり、記事ごとの日毎の上限数などいろいろな設定も変更できる。

Hacke Newsでこの弱点を指摘した人物によると、Tumblrはこのセキュリティーホールについて報告を受けているが、まだ修正していないらしいという。アップデート：さきほど修正した。公開突破口が開いていたのは1時間ほどだった。

えーっと、ありえないんですけど…
元ネタのHacker Newsを見ると、確かに複数の管理画面にアクセスできていたようだ。Tumblrのサイトには何の説明もないみたいだが。