脆弱性報告が下記に一つ出ています。
http://www.juniper.net/security/auto/vulnerabilities/vuln33676.html
pyblosxom の作りは、(昔風で)文字列として HTML を構成する感じで、入力の sanitize にも問題があろうことは想像に固くない。
下記のような利用の制限を加えて pyblosxom を使うことにした。
- HTTP の method は GET だけで使う
- QUERY_STRING はない形だけ使う(あったらエラー)
- 拡張子で flavour の指定もできない形で使う
file based の blog system を作り直した方がいいかしらん。