Movable Type に発見された脆弱性の修正を行なった Movable Type 9.1.1、9.0.7、8.8.3、8.0.10 の提供を開始しました。
あわせて Movable Type Premium 9.1.1、9.0.7、2.15(Movable Type 8.8.3 ベース / Movable Type 8.0.10 ベース)もリリースしています。
本リリースにはセキュリティに関する修正のため、必ずご確認とアップデートをお願いします。
なお、すでにEOLとなっているバージョンもこの脆弱性の影響を受けます。旧バージョンをご利用のお客様も内容をご確認のうえ、修正を行なったバージョンへのアップデートを行なっていただくか、回避策の実施をお願いします。
ニュース目次
セキュリティ上の修正(修正を行なった全バージョン共通)
Movable Type 9.1.1 / 9.0.7 / 8.8.3 / 8.0.10 および Movable Type Premium 9.1.1 / 9.0.7 / 2.15 において、すべて共通の修正を行なっています。
- リスティングフレームワークのフィルタ処理において、任意の Perl コードが実行される脆弱性 (RCE) を修正(CVE-2026-25776, MTC-31204)
- リスティングフレームワークのリクエスト処理において、任意の SQL を実行できる脆弱性 (SQL インジェクション) を修正(CVE-2026-33088, MTC-31212)
※ リスティングフレームワークは、管理画面(mt.cgi)と Data API(mt-data-api.cgi)の内部で利用しているフレームワークです。
それぞれのリリースノートもご参照ください。
修正を行なった各バージョンのリリース対象製品
Movable Type 9.1.1
クラウド版
Movable Type 9.0.7
ソフトウェア版/AMI版
Movable Type 8.8.3
クラウド版/ソフトウェア版/AMI版
Movable Type 8.0.10
ソフトウェア版/AMI版
Movable Type Premium 9.1.1
クラウド版
Movable Type Premium 9.0.7
ソフトウェア版
Movable Type Premium 2.15(Movable Type 8.8.3 ベース / Movable Type 8.0.10 ベース)
Movable Type 8.8.3 ベース:クラウド版/ソフトウェア版
Movable Type 8.0.10 ベース:ソフトウェア版
脆弱性の影響を受ける製品・バージョン
リスティングフレームワークを利⽤した管理画⾯を持つ、または Data API を利⽤している Movable Type および Movable Type Premium が、この脆弱性の影響を受けます。既にEOL(End of Life:製品ライフサイクル終了)となりサポートが終了しているバージョンも含みます。
Movable Type / Movable Type Advanced
- 9.1.0 およびそれ以前(9.1系)
- 9.0.6 およびそれ以前(9.0系)
- 8.8.2 およびそれ以前(8.8系)
- 8.0.9 およびそれ以前(8.0系)
Movable Type Premium / Movable Type Premium Advanced Edition
- 9.1.0 およびそれ以前(9.1系)
- 9.0.6 およびそれ以前(9.0系)
- 2.14 およびそれ以前(8.0系 / 8.8系)
EOLとなっているバージョン
Movable Type / Movable Type Advanced
- 5.1 から 5.18(5.1系すべて)
- 5.2 および 5.2.1 から 5.2.13(5.2系すべて)
- 6.0 および 6.0.1 から 6.8.8(6系すべて)
- 7 r.4207 から r.5510(7系すべて)
- 8.4.0 から 8.4.4(8.4系すべて)
Movable Type Premium / Movable Type Premium Advanced Edition
- Movable Type Premium 1.0 から 1.68(MTP 1系すべて)
対策方法(回避策)
脆弱性の影響を受ける製品をご利用のお客様は、それぞれ修正を行なったバージョンへのアップデートを行なってください。直ちにアップデートを行うことが難しい場合には、回避策として Data API のアクセス制限を実施してください。
※ 回避策は Data API を経由した攻撃の緩和にのみ有効です。
Data API のアクセス制限の設定
Data API のアクセス制限の設定方法については「Movable Type セキュリティ対策ガイド」をご参照ください。
それぞれの入手方法について
ソフトウェア版のアップデートを行なう際は、データベースのバックアップを必ず取得したのち、上書きアップデートではなく別ディレクトリへインストールする形でのアップデートを強くおすすめします。
- ソフトウェア版 Movable Type (Advanced) / Movable Type Premium (Advanced Edition)のライセンスをお持ちの方
- シックス・アパート ユーザーサイトから最新版をダウンロードいただけます。 Movable Type を最新のバージョンにアップデートする手順についてはマニュアルをご覧ください。
- ソフトウェア版 Movable Type (Advanced) / Movable Type Premium (Advanced Edition) のライセンスをお持ちでない方
- ライセンスご案内ページから、必要なライセンスをご購入ください。
- ソフトウェア版 Movable Type (Advanced) / Movable Type Premium (Advanced Edition) のライセンスをお持ちで、年間メンテナンスを継続せず期限が切れている方
- 最新バージョンをご利用になるには、必要な期間分の年間メンテナンスもしくは新規でライセンスをご購入ください。
- クラウド版で Movable Type / Movable Type Premium をご利用の方
- ご利用のお客様の環境において既にメンテナンスを実施し、自動アップデートを有効にされているすべてのお客様の環境でアップデートが完了しています。
※ 自動アップデート無効にされている場合もアップデートが実施されています。 - Movable Type AMI版 をご利用の方
- アップデートの手順はマニュアルをご覧ください。AWS Marketplace にはAWS による審査後に公開されます。新規購入の詳細は Movable Type AMI版 のページをご覧ください。
- 個人無償版をご利用の方
- 個人無償版ダウンロードフォームより再度お申し込みいただき、改めてダウンロードしてご利用ください。
その他、Movable Type の詳細は、製品サイトをご覧ください。