k3c 曰く、

CVSのサーバ機能に、不正なリクエストによってCVSレポジトリの置かれているファイルシステムのルートにディレクトリを作成できてしまうという脆弱性が発見された。この脆弱性を修正した安定バージョン1.11.10および開発バージョン1.12.3が既にダウンロード可能となっている。変更点リストによれば、ファイルも生成できる可能性があるという。特に、ルートディレクトリへの書き込みに特権が必要でないようなファイルシステム上でCVSレポジトリを運用しているケースでは、至急アップデートが必要だろう。