「Movable Type」に深刻な脆弱性、最新版に更新して対策を

　シックス・アパート株式会社は4月8日、同社が提供するCMS「Movable Type」に深刻な脆弱性が存在するとして、情報を公開した。脆弱性対策情報ポータルサイト「JVN」（Japan Vulnerability Notes）でも情報を公開している。脆弱性は、最新版にアップデートすることで対策でき、シックス・アパートらは速やかなアップデートを呼びかけている。

　存在する脆弱性は、次の2点。

コードインジェクション（CVE-2026-25776）

任意のPerlコードが実行される可能性がある。CVSS 4.0のスコアは9.3、CVSS 3.0のスコアは9.8。

SQLインジェクション（CVE-2026-33088）

任意のSQLが実行される可能性がある。CVSS 4.0のスコアは6.9、CVSS 3.0のスコアは7.3。

　対象となる現行製品のバージョンは、以下のとおり。なお、Movable Typeクラウド版は、すべてアップデートが完了している。

Movable Type / Movable Type Advanced

9.1.0以前（9.1系）
9.0.6以前（9.0系）
8.8.2以前（8.8系）
8.0.9以前（8.0系）

Movable Type Premium / Movable Type Premium Advanced Edition

9.1.0以前（9.1系）
9.0.6以前（9.0系）
2.14以前（8.0系／8.8系）

　サポート終了（EOL）となっている次の製品も同様の脆弱性の影響を受ける。

Movable Type / Movable Type Advanced

Movable Type 8.4.0～8.4.4（8.4系すべて）
Movable Type 7 r.4207～r.5510（7系すべて）
Movable Type 6.0、6.0.1～6.8.8（6系すべて）
Movable Type 5.2、5.2.1～5.2.13（5.2系すべて）
Movable Type 5.1～5.18（5.1系すべて）

Movable Type Premium / Movable Type Premium Advanced Edition

Movable Type Premium 1.0～1.68（MTP 1系すべて）

　すぐにアップデートを実施することが難しい場合の回避策として、シックス・アパートのウェブサイトにて、Data APIのアクセス制限を設定することが案内されている。