平台
perl
组件
movable-type
修复版本
9.1.1
9.0.7
8.8.3
8.0.10
9.1.1
9.0.7
8.8.3
8.0.10
9.1.1
9.0.7
9.1.1
9.0.7
2.14.1
2.14.1
CVE-2026-25776 是 Six Apart Ltd. 提供的 Movable Type 中的一种代码注入漏洞。该漏洞允许攻击者执行任意 Perl 脚本,可能导致系统被恶意控制。此漏洞影响 Movable Type 8.0.9 到 9.1.0 及其之前的版本。目前已发布 9.1.1 版本来修复此安全问题。
Six Apart Ltd. 提供的的 Movable Type 的 CVE-2026-25776 存在代码注入漏洞,构成重大风险。 此漏洞允许攻击者在受影响的系统上执行任意 Perl 脚本。 CVSS 分数达到 9.8,表明成功利用可能导致服务器完全被攻陷,并危及数据的机密性、完整性和可用性。 代码注入的性质允许攻击者修改或窃取敏感信息,安装恶意软件,或将服务器用作网络中进一步攻击的跳板。 缺乏 KEV(内核利用可见性)表明该漏洞可能未在威胁情报来源中广泛记录,这增加了应用修复的紧迫性。
该漏洞存在于 Movable Type 处理某些输入的方式中,允许攻击者注入恶意 Perl 代码。 认为利用需要身份验证,这意味着攻击者需要对 Movable Type 系统具有有效访问权限。 但是,一旦经过身份验证,攻击者就可以使用 Movable Type 用户的权限执行任意代码。 利用的影响可能因服务器配置和用户权限而异。 管理员应审查 Movable Type 配置,并应用最小权限原则,以最大限度地减少在利用成功的情况下可能造成的损害。 关于特定攻击向量的详细信息缺乏,使得准确评估风险变得困难。
漏洞利用状态
EPSS
0.06% (20% 百分位)
CISA SSVC
针对 CVE-2026-25776 的主要缓解措施是将 Movable Type 更新到 9.1.1 或更高版本。 此版本包含直接解决代码注入漏洞的补丁。 同时,作为临时措施,建议限制对 Movable Type 管理面板的访问,仅允许授权用户访问,并监控系统日志中是否存在可疑活动。 实施 Web 应用程序防火墙 (WAF) 也有助于阻止利用尝试。 更新后进行彻底测试至关重要,以确保修复不会导致与其他系统组件的兼容性问题。 及时应用此更新对于防止潜在攻击至关重要。
将 Movable Type 更新到 9.1.1 或更高版本以缓解代码注入漏洞。 此更新更正了某些输入的处理方式,从而防止执行任意 Perl 脚本。 请参阅版本说明以获取详细的更新说明。
漏洞分析和关键警报直接发送到您的邮箱。
Movable Type 是一种用于创建和管理博客和网站的内容管理系统 (CMS)。
9.1.1 版本修补了 CVE-2026-25776 漏洞,该漏洞允许执行任意代码。
作为临时措施,限制对管理面板的访问并监控系统日志。
Web 应用程序防火墙 (WAF) 可以阻止漏洞的利用尝试。
请参阅 Movable Type 的官方文档和 Six Apart Ltd. 的安全资源。
2.14.1
5.1.1
5.2.1
5.2.2
6.0.1
6.0.2
7.0.1
8.4.1
1.0.1
CVSS 向量