プラットフォーム
perl
コンポーネント
movable-type
修正版
9.1.1
9.0.7
8.8.3
8.0.10
9.1.1
9.0.7
8.8.3
8.0.10
9.1.1
9.0.7
9.1.1
9.0.7
2.14.1
2.14.1
2.14.1
5.1.1
5.2.1
5.2.2
6.0.1
6.0.2
7.0.1
8.4.1
1.0.1
CVE-2026-25776は、Six Apart Ltd.が提供するMovable Typeにおいて検出されたコードインジェクション脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上で任意のPerlスクリプトを実行し、機密情報の窃取やシステムの改ざんなどの深刻な被害をもたらす可能性があります。影響を受けるバージョンは8.0.9から9.1.0までの範囲です。現在、9.1.1へのアップデートでこの脆弱性が修正されています。
この脆弱性は、攻撃者がMovable Typeのシステム上で任意のPerlスクリプトを実行できることを意味します。これにより、データベース内の機密情報(ユーザー名、パスワード、ブログ記事など)が漏洩する可能性があります。さらに、攻撃者はシステムの設定ファイルを改ざんしたり、悪意のあるコードを挿入したりすることで、Movable Typeの機能を完全に制御できる可能性があります。攻撃者は、この脆弱性を利用して、Webサイトを改ざんしたり、他のシステムへの攻撃の足がかりにしたりすることも可能です。類似のPerlアプリケーションにおける脆弱性の悪用事例を踏まえ、早急な対応が必要です。
この脆弱性は、2026年4月8日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、脆弱性の深刻度から、今後悪用される可能性は高いと考えられます。CISAのKEVリストへの登録状況は不明です。Movable Typeのユーザーは、この脆弱性のリスクを認識し、速やかに対応策を講じる必要があります。
エクスプロイト状況
EPSS
0.06% (20% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、Movable Typeをバージョン9.1.1以降にアップデートすることです。アップデートが困難な場合は、一時的な緩和策として、Movable Typeのファイルアクセス権限を厳しく制限し、不要なPerlモジュールの使用を禁止するなどの対策を講じることが考えられます。また、Webアプリケーションファイアウォール(WAF)を導入し、悪意のあるPerlスクリプトの実行を検知・遮断することも有効です。アップデート後、Movable Typeのログを監視し、不審なアクティビティがないか確認してください。
コードインジェクションの脆弱性を軽減するために、Movable Type を 9.1.1 以降のバージョンにアップデートしてください。このアップデートは、特定の入力の処理方法を修正し、任意の Perl スクリプトの実行を防ぎます。詳細なアップデート手順については、リリースノートを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-25776は、Movable Type 8.0.9~9.1.0以前のバージョンに存在する、攻撃者が任意のPerlスクリプトを実行できるコードインジェクション脆弱性です。
Movable Typeのバージョンが8.0.9から9.1.0までの範囲である場合、この脆弱性に影響を受けます。
Movable Typeをバージョン9.1.1以降にアップデートすることで、この脆弱性を修正できます。
現時点では公的なPoCは確認されていませんが、脆弱性の深刻度から、今後悪用される可能性は高いと考えられます。
Six Apart Ltd.の公式ウェブサイトで、Movable Typeのセキュリティアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。