Apache（Webサーバー）における脆弱性 CVE-2026-49975（HTTP/2 Bomb）への対応についてお知らせします。脆弱性の詳細はCVEの情報をご覧ください。

• CVE-2026-49975 | Common vulnerabilities and Exposures

あわせて、Movable Type クラウド版の Perl および PHP のアップデートも行なっています。

CVE-2026-49975（HTTP/2 Bomb）への対応について

Movable Type クラウド版で利用している Apache のアップデートを行いました。

• Movable Type クラウド版の Apache のバージョンを 2.4.67 から 2.4.68 に変更

Webサーバーに Apache を使用中で、自動アップデートを有効にされているすべてのお客様の環境で対応が完了しています。

※ 自動アップデートは初期設定では有効です。意図的に無効にされている場合を除き、アップデートが実施されています。
※ Movable Type のバージョンアップは行なっておらず、バージョン番号は変更されていません。

HTTP/2 無効化の対策を実施されていた場合

お客様で HTTP/2 無効化の対策を実施されていた場合、HTTP/2 を有効に戻しても脆弱性の影響を受けることなく利用することができます。

Perl と PHP のアップデートついて

Movable Type クラウド版 で利用している Perl と PHP のアップデートを行いました。

• Movable Type クラウド版の Perl のバージョンを Perl 5.38.2 から Perl 5.42.2 に変更
  2026/6/11 16:15追記: 一部環境で不具合があったため、Perl 5.38.2 に戻しました
• Movable Type クラウド版の PHP のバージョンを PHP 8.3.16 から PHP 8.3.31 に変更

自動アップデートを有効にされているすべてのお客様の環境で対応が完了しています。

※ 自動アップデートは初期設定では有効です。意図的に無効にされている場合を除き、アップデートが実施されています。
※ Movable Type のバージョンアップは行なっておらず、バージョン番号は変更されていません。

リリースノートもご参照ください。

• クラウド版 (20260611) リリースノート
• クラウド版 (20260611-1) リリースノート

その他、Movable Type クラウド版のクラウド版の仕様については、クラウド版サービス仕様一覧をご確認ください。

• クラウド版 サービス仕様一覧 | CMS プラットフォーム Movable Type