プレスリリース

〜 対象の製品・バージョンを利用している場合は、最新版へのアップデートをお願いいたします 〜

2026年4月8日
シックス・アパート株式会社

Movable Type に深刻な脆弱性が存在することが判明いたしました。この脆弱性を修正した最新版を公開しています。ご利用のお客様にはできるだけ速やかに最新版へのアップデートをお願いいたします。

脆弱性の概要

• リスティングフレームワークのフィルタ処理において、任意の Perl コードが実行される脆弱性 (RCE) を修正（CVE-2026-25776, MTC-31204）
• リスティングフレームワークのリクエスト処理において、任意の SQL を実行できる脆弱性 (SQL インジェクション) を修正（CVE-2026-33088, MTC-31212）

※ リスティングフレームワークは、管理画面（mt.cgi）と Data API（mt-data-api.cgi）の内部で利用しているフレームワークです。

脆弱性の影響を受ける製品・バージョン

Movable Type / Movable Type Advanced

• 9.1.0 およびそれ以前（9.1系）
• 9.0.6 およびそれ以前（9.0系）
• 8.8.2 およびそれ以前（8.8系）
• 8.0.9 およびそれ以前（8.0系）

Movable Type Premium / Movable Type Premium Advanced Edition

• 9.1.0 およびそれ以前（9.1系）
• 9.0.6 およびそれ以前（9.0系）
• 2.14 およびそれ以前（8.0系 / 8.8系）

既にEOL（End of Life：製品ライフサイクル終了）となりサポートが終了しているバージョンも、この脆弱性の影響を受けます。

Movable Type / Movable Type Advanced

• Movable Type 5.1 から 5.18（5.1系すべて）
• Movable Type 5.2 および 5.2.1 から 5.2.13（5.2系すべて）
• Movable Type 6.0 および 6.0.1 から 6.8.8（6系すべて）
• Movable Type 7 r.4207 から r.5510（7系すべて）
• Movable Type 8.4.0 から 8.4.4（8.4系すべて）

Movable Type Premium / Movable Type Premium Advanced Edition

• Movable Type Premium 1.0 から 1.68（MTP 1系すべて）

※ MovableType.net は、本脆弱性の影響はありません。

対策方法

本脆弱性の影響を受ける製品をご利用のお客様は、速やかに Movable Type の最新版へのアップデートをお願いいたします。直ちにアップデートを実施することが難しい場合には、回避策として Data API のアクセス制限の設定を実施してください。回避策は、Data API を経由した攻撃の緩和にのみ有効です。

Movable Type のアップデート

脆弱性を修正した最新版にアップデートしてください。なお、Movable Type クラウド版は、すべての環境で最新版へのアップデートが完了しています。

Movable Type

• 9.1.1（クラウド版のみ）
• 9.0.7
• 8.8.3
• 8.0.10

Movable Type Premium

• 9.1.1（クラウド版のみ）
• 9.0.7
• 2.15

アップデート方法の詳細については、Movable Type ニュースをご参照ください。
▶ [重要] Movable Type 9.1.1 / 9.0.7 / 8.8.3 / 8.0.10、Movable Type Premium 9.1.1 / 9.0.7 / 2.15 の提供を開始（セキュリティアップデート）

Data API のアクセス制限を設定

直ちにアップデートを実施することが難しい場合には、Data API のアクセス制限の設定をお願いいたします。設定方法については「Movable Type セキュリティ対策ガイド」をご参照ください。
▶ Movable Type セキュリティ対策ガイド | MovableType.jp

Six Apart、Movable Type、Lekumo、SAWS は、シックス・アパート株式会社の登録商標です。
本文中の商品名は、各社の商標または登録商標です。