「Movable Type」に深刻な脆弱性、アップデート公開 - EOL版にも影響

コンテンツマネジメントシステムの「Movable Type」に複数の脆弱性が判明し、セキュリティアップデートがリリースされた。

同ソフトウェアにおいてリスティングフレームワークに関する脆弱性2件が判明したもの。

コードインジェクションの脆弱性「CVE-2026-25776」では、「Data API」や管理画面の処理において、認証を必要とすることなくリモートから任意のコードの実行が可能となる。

細工したリクエストにより任意のSQLを実行でき、情報の改ざんや取得などにつながるおそれがある「SQLインジェクション」の脆弱性「CVE-2026-33088」も確認された。

共通脆弱性評価システム「CVSSv4.0」のベーススコアを見ると「CVE-2026-25776」が「9.3」、「CVE-2026-33088」が「6.9」と評価されている。「CVSSv3.0」ではそれぞれ「9.8」「7.3」と評価されている。

（Security NEXT - 2026/04/08 ） ツイート

PR

関連記事

F5が四半期アドバイザリ、「BIG-IP」関連に多数脆弱性
LLMアプリ開発基盤「Dify」に複数のクリティカル脆弱性
「Apache Flink」にコードインジェクションの脆弱性 - 重要度「クリティカル」
「MongoDB」に深刻な脆弱性 - 早急な対応を強く推奨
WPS Office旧脆弱性、2020年以降の製品などにも影響
Ivanti、5月の月例アップデートを公開 - 「クリティカル」脆弱性も
「MS Edge」にセキュリティ更新 - 独自含む脆弱性76件を修正
米当局、「Exchange Server」ゼロデイ脆弱性に注意喚起
米当局、「Cisco SD-WAN」の脆弱性悪用で緊急対応を要請
「PHP」に複数の「クリティカル」脆弱性 - アップデートで解消