脆弱性報告が下記に一つ出ています。

http://www.juniper.net/security/auto/vulnerabilities/vuln33676.html

pyblosxom の作りは、(昔風で)文字列として HTML を構成する感じで、入力の sanitize にも問題があろうことは想像に固くない。

下記のような利用の制限を加えて pyblosxom を使うことにした。

• HTTP の method は GET だけで使う
• QUERY_STRING はない形だけ使う(あったらエラー)
• 拡張子で flavour の指定もできない形で使う

file based の blog system を作り直した方がいいかしらん。