情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. 重要なセキュリティ情報
  4. 2026年度
  5. 「Movable Type」における複数の脆弱性について(JVN#66473735)

「Movable Type」における複数の脆弱性について(JVN#66473735)

公開日:2026年4月8日

最終更新日:2026年4月8日

注釈:最新情報は、JVN(JVN#66473735)をご覧ください。

概要

シックス・アパート株式会社が提供する「Movable Type」は、コンテンツ管理システムです。

「Movable Type」には、コードインジェクション、SQLインジェクションの脆弱性が存在します。

本脆弱性を悪用された場合、任意のPerlコードが実行されたり、任意のSQLコマンドを実行されたりする可能性があります。

開発者が提供する情報をもとに、最新版へアップデートしてください。

本脆弱性の深刻度

脆弱性の深刻度は共通脆弱性評価システムCVSS v3に基づいて定めている。

CVE-2026-25776

本脆弱性のCVSS v3深刻度

緊急

本脆弱性のCVSS v3基本値

9.8

CVE-2026-33088

本脆弱性のCVSS v3深刻度

重要

本脆弱性のCVSS v3基本値

7.3

対象

次の製品が対象です。

  • Movable Type 9.1.0 およびそれ以前(Movable Type 9.1系)

  • Movable Type 9.0.6 およびそれ以前(Movable Type 9.0系)

  • Movable Type 8.8.2 およびそれ以前(Movable Type 8.8系)

  • Movable Type 8.0.9 およびそれ以前(Movable Type 8.0系)

  • Movable Type Advanced 9.1.0 およびそれ以前(Movable Type Advanced 9.1系)

  • Movable Type Advanced 9.0.6 およびそれ以前(Movable Type Advanced 9.0系)

  • Movable Type Advanced 8.8.2 およびそれ以前(Movable Type Advanced 8.8系)

  • Movable Type Advanced 8.0.9 およびそれ以前(Movable Type Advanced 8.0系)

  • Movable Type Premium 9.1.0 およびそれ以前(Movable Type Premium 9.1系)

  • Movable Type Premium 9.0.6 およびそれ以前(Movable Type Premium 9.0系)

  • Movable Type Premium Advanced Edition 9.1.0 およびそれ以前(Movable Type Premium Advanced Edition 9.1系)

  • Movable Type Premium Advanced Edition 9.0.6 およびそれ以前(Movable Type Premium Advanced Edition 9.0系)

  • Movable Type Premium 2.14 およびそれ以前

  • Movable Type Premium Advanced Edition 2.14 およびそれ以前

  • Movable Type Premium MT8ベース 2.14 およびそれ以前

開発者によると、リスティングフレームワークを利用した管理画面を持つ、またはData APIを利用しているMovable Typeが本脆弱性の影響を受けるため、以下のサポートが終了した製品も影響を受けるとのことです。

  • Movable Type 5.1 から 5.18(Movable Type 5.1系すべて)

  • Movable Type 5.2 および 5.2.1 から 5.2.13(Movable Type 5.2系すべて)

  • Movable Type 6.0 および 6.0.1 から 6.8.8(Movable Type 6系すべて)

  • Movable Type 7 r.4207 から r.5510(Movable Type 7系すべて)

  • Movable Type 8.4.0 から 8.4.4(Movable Type 8.4系すべて)

  • Movable Type Premium 1.0 から 1.68(MTP 1系すべて)

対策

アップデートする

開発者が提供する情報をもとに、最新版へアップデートしてください。

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

ワークアラウンドを実施する

開発者によると、Data APIを経由する攻撃については、以下の方法でData APIを利用不可とすることにより回避することができるとのことです。

  • mt-data-api.cgiを削除する(CGI)

  • Movable Typeの環境変数RestrictedPSGIAppにdata_apiを設定する(PSGI、MT 6.2以降)

  • Movable Typeの環境変数DataAPIScriptに推測不可能な文字列を設定する(MT 6.0、6.1)

詳しくは、開発者が提供する情報をご確認ください。

参考情報

  • 「情報セキュリティ早期警戒パートナーシップ」について
    この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください。

お問い合わせ先

IPA セキュリティセンター

  • E-mail

    vuln-inqアットマークipa.go.jp

注釈:個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。

更新履歴

  • 2026年4月8日

    掲載