独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月8日、Movable Typeにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の小田切祥氏が報告を行っている。影響を受けるシステムは以下の通り。
・Movable Type / Movable Type Advanced
9.1.0 およびそれ以前(9.1系)
9.0.6 およびそれ以前(9.0系)
8.8.2 およびそれ以前(8.8系)
8.0.9 およびそれ以前(8.0系)
・Movable Type Premium / Movable Type Premium Advanced Edition
9.1.0 およびそれ以前(9.1系)
9.0.6 およびそれ以前(9.0系)
・Movable Type Premium / Movable Type Premium Advanced Edition / Movable Type Premium MT8ベース
2.14 およびそれ以前
リスティングフレームワークを利用した管理画面を持つ、またはData APIを利用しているMovable Typeが本脆弱性の影響を受けるため、下記のサポートが終了した製品も影響を受ける。
Movable Type 5.1 から 5.18(5.1系すべて)
Movable Type 5.2 および 5.2.1 から 5.2.13(5.2系すべて)
Movable Type 6.0 および 6.0.1 から 6.8.8(6系すべて)
Movable Type 7 r.4207 から r.5510(7系すべて)
Movable Type 8.4.0 から 8.4.4(8.4系すべて)
Movable Type Premium 1.0 から 1.68(MTP 1系すべて)
シックス・アパート株式会社が提供するMovable Typeには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・コードインジェクション(CVE-2026-25776)
→任意のPerlコードが実行される
・SQLインジェクション(CVE-2026-33088)
→任意のSQLが実行される
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお開発者は、本脆弱性を修正した下記のバージョンをリリースしている。
・Movable Type
9.1.1(クラウド版のみ)
9.0.7
8.8.3
8.0.10
・Movable Type Premium
9.1.1 / 9.0.7
2.15
なお、Data API を経由する攻撃については、下記の方法でData APIを利用不可とすることで回避できる。
・mt-data-api.cgiを削除する(CGI)
・Movable Typeの環境変数RestrictedPSGIAppにdata_apiを設定する(PSGI、MT 6.2以降)
・Movable Typeの環境変数DataAPIScriptに推測不可能な文字列を設定する(MT 6.0、6.1)
