CMS(コンテンツ管理システム)と関連サービスのシックス・アパートは、CMSプラットフォーム「Movable Type」に深刻な脆弱性が判明したと4月8日に発表し、最新版へのアップデートを呼びかけている。直ちにアップデートが難しい場合の回避策として、Data APIのアクセス制限の設定も案内されている。
脆弱性は2件で、任意のPerlコードが実行されるRCE(CVE-2026-25776/MTC-31204)と、任意のSQLを実行できるSQLインジェクション(CVE-2026-33088/MTC-31212)。いずれも管理画面「mt.cgi」とData API「mt-data-api.cgi」の内部で利用するリスティングフレームワークに存在する。
影響を受けるのは「Movable Type」「Movable Type Advanced」は9.1.0以前、9.0.6以前、8.8.2以前、8.0.9以前。「Movable Type Premium」「Movable Type Premium Advanced Edition」は9.1.0以前、9.0.6以前、2.14以前。EOL(製品ライフサイクル終了)バージョンも5系~8.4系で影響を受ける。「MovableType.net」は影響を受けない。
対策として同社は、脆弱性を修正した最新版への更新を求めている。提供する修正版は、「Movable Type」が9.1.1(クラウド版のみ)、9.0.7、8.8.3、8.0.10、「Movable Type Premium」が9.1.1(クラウド版のみ)、9.0.7、2.15。「Movable Typeクラウド版」はすべての環境で最新版へのアップデートが完了している。
この記事の筆者
筆者の人気記事
国民生活センターが道交法の基準上限を上回る「電動アシスト自転車」を新たに公表
2023年9月11日 7:02
イオンが「電子マネーWAONポイント」を「WAON POINT」に統合、分かりにくさ解消
2025年11月12日 7:03
アマゾンジャパンが「インボイス制度」に対応、販売事業者に代わって適格請求書を発行
2022年10月28日 7:03
総務省が「Pinterest」「Amebaブログ」「爆サイ.com」「ニコニコ」を情プラ法で指定
2025年6月3日 7:03
「後払い決済サービス」のトラブルが3年間で3倍に急増、国民生活センターが注意喚起
2025年7月3日 7:02
「Yahoo!メール」が3月から新ドメイン「@ymail.ne.jp」のメールアドレス提供開始
2022年2月28日 7:01
