ニュース

「Movable Type」に深刻な脆弱性 ~リモートでPerlコードやSQLが実行される恐れ

製品ライフサイクルが終了している製品にも影響

  • 長谷川 正太郎

2026年4月8日 18:00

「Movable Type」に深刻な脆弱性

 シックス・アパート(株)は4月8日、同社製のブログエンジン「Movable Type」「Movable Type Premium」のセキュリティアップデートを発表した。以下の脆弱性が修正されている。

  • CVE-2026-25776:リスティングフレームワークのフィルター処理において、任意のPerlコードが実行される脆弱性
  • CVE-2026-33088:リスティングフレームワークのリクエスト処理において、任意のSQLを実行できる脆弱性

 JVNによると、このうち「CVE-2026-25776」の深刻度は、CVSS:4.0の値で“9.3”とされており、早急な対応が必要だ(「CVE-2026-33088」は“6.9”)。同日にリリースされた以下のバージョンへアップデートすることで修正できる。

  • Movable Type 9.1.1
  • Movable Type 9.0.7
  • Movable Type 8.8.3
  • Movable Type 8.0.10
  • Movable Type Premium 9.1.1
  • Movable Type Premium 9.0.7
  • Movable Type Premium 2.15

 さらに、これらの脆弱性は製品ライフサイクルが終了している以下の製品にも影響する。

  • Movable Type 5.1から5.18(5.1系すべて)
  • Movable Type 5.2および5.2.1から5.2.13(5.2系すべて)
  • Movable Type 6.0および6.0.1から6.8.8(6系すべて)
  • Movable Type 7 r.4207からr.5510(7系すべて)
  • Movable Type 8.4.0から8.4.4(8.4系すべて)
  • Movable Type Advanced 5.1から5.18(5.1系すべて)
  • Movable Type Advanced 5.2および5.2.1から5.2.13(5.2系すべて)
  • Movable Type Advanced 6.0および6.0.1から6.8.8(6系すべて)
  • Movable Type Advanced 7 r.4207からr.5510(7系すべて)
  • Movable Type Advanced 8.4.0から8.4.4(8.4系すべて)
  • Movable Type Premium 1.0から1.68(MTP 1系すべて)

 これらのバージョンには修正版が提供されないため、ライフサイクルが終了していないバージョンへアップグレードするか、Data APIのアクセスを制限する回避策を実施する必要がある(ただし、この回避策ではData APIを経由した攻撃のみが緩和される)。同社はData APIのアクセスを制限する手順を案内している。

Amazonで購入