vs gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
New
JVNDB-2026-000050

Movable Typeにおける複数の脆弱性

9.8
2026/04/08 14:21
CVE-2026-33088
JVNDB-2026-000050
Movable Typeにおける複数の脆弱性
概要
シックス・アパート株式会社が提供するMovable Typeには、次の複数の脆弱性が存在します。
  • コードインジェクション(CWE-94)- CVE-2026-25776
  • SQLインジェクション(CWE-89)- CVE-2026-33088
CVE-2026-25776 この脆弱性情報は、下記の方が製品開発者に直接報告し、製品開発者との調整を経て、開発者がJPCERT/CCに報告しました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 小田切祥 氏 CVE-2026-33088 この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告しました。 上記の報告を受け、JPCERT/CCが開発者との調整を行いました。
想定される影響と対策
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
  • 任意のPerlコードが実行される(CVE-2026-25776)
  • 任意のSQLが実行される(CVE-2026-33088)

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正した次のバージョンをリリースしています。
  • Movable Type
    • 9.1.1(クラウド版のみ)
    • 9.0.7
    • 8.8.3
    • 8.0.10
  • Movable Type Premium
    • 9.1.1 / 9.0.7
    • 2.15
[ワークアラウンドを実施する] Data API を経由する攻撃については、以下の方法でData APIを利用不可とすることにより回避することができます。
  • mt-data-api.cgiを削除する(CGI)
  • Movable Typeの環境変数RestrictedPSGIAppにdata_apiを設定する(PSGI、MT 6.2以降)
  • Movable Typeの環境変数DataAPIScriptに推測不可能な文字列を設定する(MT 6.0、6.1)
詳細は開発者が提供する情報を確認してください。
JVN情報 ※( )内はCVSS v2の値
深刻度 9.8
CVECVE-2026-33088
公表日2026/04/08 00:00
登録日2026/04/08 14:21
更新日2026/04/08 14:21
CVSS v3情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。
新規登録
ログイン