CMS「Movable Type」に深刻な脆弱性、コード実行やSQLインジェクションのリスク

CMS「Movable Type」に複数の深刻な脆弱性が判明、アップデート公開

コンテンツ管理システム（CMS）「Movable Type」において、複数の深刻な脆弱性が確認されました。
開発元のシックス・アパートは2026年4月8日、これらの脆弱性を修正するセキュリティアップデートをリリースしています。

判明した脆弱性の詳細

脆弱性はリスティングフレームワークに関連する2件です。
1つは「CVE-2026-25776」と識別されるコードインジェクションの脆弱性です。
「Data API」や管理画面の処理において、認証なしでリモートから任意のコードを実行される可能性があります。
もう1つは「CVE-2026-33088」と識別されるSQLインジェクションの脆弱性です。
細工したリクエストにより任意のSQLを実行され、情報の改ざんや取得につながるおそれがあります。

脆弱性の深刻度評価

共通脆弱性評価システム「CVSS」による評価は深刻です。
CVSSv4.0のベーススコアでは、「CVE-2026-25776」が9.3、「CVE-2026-33088」が6.9と評価されています。
CVSSv3.0ではそれぞれ9.8、7.3と評価されました。
これらの脆弱性は、サポートが終了した「EOL版」にも影響を与えるとされています。

IT管理者が確認すべきこと

自社でMovable Typeを利用している場合は、速やかに対応が必要です。
まず、利用しているバージョンを確認し、シックス・アパートが公開したセキュリティ情報（JVN JVN66473735）を参照してください。
公開されたアップデート（バージョン9.1.1 / 9.0.7 / 8.8.3 / 8.0.10など）を適用することが最も確実な対策です。
アップデート適用前は、不正なリクエストによるウェブサイトの改ざんやデータ流出のリスクがある状態です。

AIメモ: サポート終了版（EOL）にも影響が及ぶ点は、多くの企業で見落とされがちなリスク管理の盲点を示しています。