独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月4日、Movable Typeにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の石井健太郎氏が報告を行っている。影響を受けるシステムは以下の通り。
・Movable Type ソフトウェア版
Movable Type / Movable Type Advanced
9.0.4から9.0.5まで(9.0系)
8.8.0から8.8.1まで(8.8系)
8.0.2から8.0.8まで(8.0系)
Movable Type Premium / Movable Type Premium(Advanced Edition)
9.0.4(MTP 9.0系)
2.13およびそれ以前(MTP 2系)
※すでにサポートが終了している7系および8.4系も本脆弱性の影響を受ける
・Movable Type クラウド版
Movable Type
9.0.5(9系)
8.8.1(8系)
Movable Type Premium
9.0.5(9系)
2.12(MTP 2系)
シックス・アパート株式会社が提供するMovable Typeには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・コメント編集画面における格納型クロスサイトスクリプティング(CVE-2026-21393)
→当該製品の管理画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される
・サイトのエクスポート機能における格納型クロスサイトスクリプティング(CVE-2026-22875)
→当該製品の管理画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される
・アップロードするファイルの検証が不十分(CVE-2026-23704)
→製品ユーザがアップロードした不正なファイルに製品の管理者がアクセスすると、管理者のブラウザ上で任意のスクリプトが実行される
・数式インジェクション(CVE-2026-24447)
→当該製品に対して行われた不正な入力が、CSVファイルとしてダウンロードされるデータに混入し、ユーザが自身の環境で開いた際にコードが実行される
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお、開発者は、本脆弱性を修正した下記のバージョンをリリースしている。
・Movable Type ソフトウェア版
Movable Type / Movable Type Advanced
9.0.6(9.0系)
8.8.2(8.8系)
8.0.9(8.0系)
Movable Type Premium / Movable Type Premium(Advanced Edition)
9.1.0(9系)
2.14(MTP 2系)
・Movable Type クラウド版
Movable Type
9.1.0(9系)
8.8.2(8系)
Movable Type Premium
9.1.0(9系)
2.14(MTP 2系)
