独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月20日、Movable Typeにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
・ソフトウェア版
Movable Type / Movable Type Advanced
8.0.0から8.0.6、8.4.0から8.4.2(8系)
7 r.5508およびそれ以前(7系)
Movable Type Premium / Movable Type Premium (Advanced Edition)
2.09およびそれ以前(2系)
1.66およびそれ以前(1系)
・クラウド版
Movable Type
8.6.0(8系)
7 r.5508(7系)
Movable Type Premium
2.09(2系)
1.66(1系)
シックス・アパート株式会社が提供するMovable Typeには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・信頼性の低い送信元の使用(CVE-2025-53522)
→改ざんされたパスワードリセットメールを送信される
・オープンリダイレクト(CVE-2025-55706)
→パスワードリセット画面で不正なパラメータを挿入され、任意のURLへリダイレクトされる
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。シックス・アパートは、本脆弱性を修正した下記のバージョンをリリースしている。
Movable Type / Movable Type Advanced 8.7.0(クラウド版のみの提供)
Movable Type / Movable Type Advanced 8.0.7、8.4.3(ソフトウェア版のみの提供)
Movable Type / Movable Type Advanced 7 r.5509
Movable Type Premium / Movable Type Premium (Advanced Edition) 2.10
Movable Type Premium / Movable Type Premium (Advanced Edition) 1.67
