Movable Type全体に深刻な脆弱性が見つかる
汎用CMSツール
本脆弱性を悪用された場合、任意のPerlコードが実行されたり、任意のSQLコマンドを実行されたりする可能性がある。
修正対応(2026年4月8日)
シックス・
- リスティングフレームワークのフィルタ処理において、任意の Perl コードが実行される脆弱性 (RCE) を修正
(CVE-2026-25776、MTC-31204) - リスティングフレームワークのリクエスト処理において、任意の SQL を実行できる脆弱性 (SQL インジェクション) を修正
(CVE-2026-33088、MTC-31212)
脆弱性の影響を受ける製品・バージョンおよび対策方法
脆弱性の影響を受ける製品・バージョンは以下のとおり。
Movable Type / Movable Type Advanced
- 9.
1.0 およびそれ以前 (9. 1系) - 9.
0.6 およびそれ以前 (9. 0系) - 8.
8.2 およびそれ以前 (8. 8系) - 8.
0.9 およびそれ以前 (8. 0系)
Movable Type Premium / Movable Type Premium Advanced Edition
- 9.
1.0 およびそれ以前 (9. 1系) - 9.
0.6 およびそれ以前 (9. 0系) - 2.
14 およびそれ以前 (8. 0系 / 8. 8系)
EOLバージョン
すでににEOL
- Movable Type / Movable Type Advanced
- Movable Type 5.
1 から 5. 18 (5. 1系すべて) - Movable Type 5.
2 および 5. 2.1 から 5. 2.13 (5. 2系すべて) - Movable Type 6.
0 および 6. 0.1 から 6. 8.8 (6系すべて) - Movable Type 7 r.
4207 から r. 5510 (7系すべて) - Movable Type 8.
4.0 から 8. 4.4 (8. 4系すべて) - Movable Type Premium / Movable Type Premium Advanced Edition
- Movable Type Premium 1.
0 から 1. 68 (MTP 1系すべて)
なお、MovableType.
- Movable Type
(9. 1.1クラウド版、9. 0.7、8. 8.3、8. 0.10) - Movable Type Premium
(9. 1.1クラウド版、9. 0.7、2. 15)
対策方法および回避策
本脆弱性の影響を受ける製品を利用している場合、速やかに Movable Type の最新版へのアップデートをする必要がある。
なお、すぐにアップデートを実施することが難しい場合には、回避策としてData APIのアクセス制限の設定を実施することが勧められている。この回避策では、Data APIを経由した攻撃の緩和にのみ有効となっている。
アップデートについては以下記事を参照のこと。