セキュmemo経由で知ったのでメモ。
Moveable Type 4.x Unauthenticated Remote Command Execution | Sec-1 Labs
Movable Type 4.38 patch to fix a known upgrading security issue | MovableType.org - Home of the MT Community
OS command injection と SQL injection があったみたいでパッチが出てた。
4.3系は今年いっぱいでサポートが切れるので機会を見て移行しないといけないなぁ。