Movable Type に複数の脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月8日、Movable Typeにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の小田切祥氏が報告を行っている。影響を受けるシステムは以下の通り。
・Movable Type / Movable Type Advanced 9.1.0 およびそれ以前(9.1系) 9.0.6 およびそれ以前(9.0系) 8.8.2 およびそれ以前(8.8系) 8.0.9 およびそれ以前(8.0系)
・Movable Type Premium / Movable Type Premium Advanced Edition 9.1.0 およびそれ以前(9.1系) 9.0.6 およびそれ以前(9.0系)
・Movable Type Premium / Movable Type Premium Advanced Edition / Movable Type Premium MT8ベース 2.14 およびそれ以前
リスティングフレームワークを利用した管理画面を持つ、またはData APIを利用しているMovable Typeが本脆弱性の影響を受けるため、下記のサポートが終了した製品も影響を受ける。
Movable Type 5.1 から 5.18(5.1系すべて) Movable Type 5.2 および 5.2.1 から 5.2.13(5.2系すべて) Movable Type 6.0 および 6.0.1 から 6.8.8(6系すべて) Movable Type 7 r.4207 から r.5510(7系すべて) Movable Type 8.4.0 から 8.4.4(8.4系すべて) Movable Type Premium 1.0 から 1.68(MTP 1系すべて)
シックス・アパート株式会社が提供するMovable Typeには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・コードインジェクション(CVE-2026-25776) →任意のPerlコードが実行される
・SQLインジェクション(CVE-2026-33088) →任意のSQLが実行される
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお開発者は、本脆弱性を修正した下記のバージョンをリリースしている。
・Movable Type 9.1.1(クラウド版のみ) 9.0.7 8.8.3 8.0.10
・Movable Type Premium 9.1.1 / 9.0.7 2.15
なお、Data API を経由する攻撃については、下記の方法でData APIを利用不可とすることで回避できる。
・mt-data-api.cgiを削除する(CGI) ・Movable Typeの環境変数RestrictedPSGIAppにdata_apiを設定する(PSGI、MT 6.2以降) ・Movable Typeの環境変数DataAPIScriptに推測不可能な文字列を設定する(MT 6.0、6.1)
・Movable Type / Movable Type Advanced 9.1.0 およびそれ以前(9.1系) 9.0.6 およびそれ以前(9.0系) 8.8.2 およびそれ以前(8.8系) 8.0.9 およびそれ以前(8.0系)
・Movable Type Premium / Movable Type Premium Advanced Edition 9.1.0 およびそれ以前(9.1系) 9.0.6 およびそれ以前(9.0系)
・Movable Type Premium / Movable Type Premium Advanced Edition / Movable Type Premium MT8ベース 2.14 およびそれ以前
リスティングフレームワークを利用した管理画面を持つ、またはData APIを利用しているMovable Typeが本脆弱性の影響を受けるため、下記のサポートが終了した製品も影響を受ける。
Movable Type 5.1 から 5.18(5.1系すべて) Movable Type 5.2 および 5.2.1 から 5.2.13(5.2系すべて) Movable Type 6.0 および 6.0.1 から 6.8.8(6系すべて) Movable Type 7 r.4207 から r.5510(7系すべて) Movable Type 8.4.0 から 8.4.4(8.4系すべて) Movable Type Premium 1.0 から 1.68(MTP 1系すべて)
シックス・アパート株式会社が提供するMovable Typeには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・コードインジェクション(CVE-2026-25776) →任意のPerlコードが実行される
・SQLインジェクション(CVE-2026-33088) →任意のSQLが実行される
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお開発者は、本脆弱性を修正した下記のバージョンをリリースしている。
・Movable Type 9.1.1(クラウド版のみ) 9.0.7 8.8.3 8.0.10
・Movable Type Premium 9.1.1 / 9.0.7 2.15
なお、Data API を経由する攻撃については、下記の方法でData APIを利用不可とすることで回避できる。
・mt-data-api.cgiを削除する(CGI) ・Movable Typeの環境変数RestrictedPSGIAppにdata_apiを設定する(PSGI、MT 6.2以降) ・Movable Typeの環境変数DataAPIScriptに推測不可能な文字列を設定する(MT 6.0、6.1)
Vocabulary
General
Proper noun
JLPT N2
JLPT N1
| # | 言葉 | 意味 |
|---|---|---|
| 12 | 系 | けい (系) : 1. system; lineage; group 2. corollary |
| 10 | および | および (及び) : and; as well as |
| 7 | 以前 | いぜん (以前) : ago; since; before; previous |
| 4 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 4 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 4 | 下記 | かき (下記) : the following |
| 2 | 複数 | ふくすう (複数) : plural; multiple; several |
| 2 | 株式会社 | かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK |
| 2 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 2 | 任意 | にんい (任意) : 1. optional; voluntary; arbitrary; random; discretionary; facultative; spontaneous; any 2. arbitrary |
| 2 | 実行 | じっこう (実行) : execution (e.g. of a plan); carrying out; practice; action; implementation; fulfillment; realization |
| 2 | 開発者 | かいはつしゃ (開発者) : developer |
| 2 | なお | なお (尚) : 1. still; yet 2. more; still more; greater; further |
| 2 | 環境変数 | かんきょうへんすう (環境変数) : environment variable |
| 2 | 設定 | せってい (設定) : 1. establishment; creation; posing (a problem); setting (movie, novel, etc.); scene 2. options setting; preference settings; configuration; setup |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 小田切 | おたき (小田切) : Otaki (unclass) |
| 1 | 氏 | うじ (氏) : 1. family name; lineage; birth 2. clan |
| 1 | 報告 | ほうこく (報告) : report; information |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 管理 | かんり (管理) : control; management (e.g. of a business) |
| 1 | 画面 | がめん (画面) : 1. screen (of a TV, computer, etc.) 2. image (on a screen); picture; scene |
| 1 | 終了 | しゅうりょう (終了) : end; close; termination |
| 1 | 製品 | せいひん (製品) : manufactured goods; finished goods; product |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 情報 | じょうほう (情報) : 1. information; news; intelligence; advices 2. information; data contained in characters, signals, code, etc. |
| 1 | もと | もと (元) : 1. origin; source 2. base; basis; foundation; root |
| 1 | 最新版 | さいしんばん (最新版) : latest version; latest edition |
| 1 | 呼びかける | よびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal |
| 1 | 修正 | しゅうせい (修正) : amendment; correction; revision; modification; alteration; retouching; update; fix |
| 1 | 版 | はん (版) : 1. edition; version; printing; impression; implementation (e.g. software) 2. plate; block; cast |
| 1 | のみ | のみ : only; nothing but |
| 1 | 経由 | けいゆ (経由) : going through; going via; going by way of |
| 1 | 攻撃 | こうげき (攻撃) : 1. attack; assault; raid; onslaught; offensive 2. criticism; censure; denunciation; condemnation |
| 1 | 方法 | ほうほう (方法) : method; process; manner; way; means; technique |
| 1 | 不可 | ふか (不可) : 1. wrong; bad; improper; unjustifiable; inadvisable 2. not allowed; not possible |
| 1 | 回避 | かいひ (回避) : evasion; avoidance |
| 1 | 削除 | さくじょ (削除) : deletion; elimination; erasure; striking out |
| 1 | 以降 | いこう (以降) : on and after; as from; hereafter; thereafter; since |
| 1 | 推測 | すいそく (推測) : guess; conjecture |
| 1 | 不可能 | ふかのう (不可能) : impossible |
| 1 | 文字列 | もじれつ (文字列) : character string |