Japan Vulnerability Notes(JVN)でMovable Typeに複数の脆弱性が存在することが報告されました。
JVN#76729865 Movable Typeにおける複数の脆弱性
https://jvn.jp/jp/JVN76729865/
※JVN は、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトで、JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。
2025年 8月20日(水) [重要] Movable Type 8.7.0 / 8.4.3 / 8.0.7 / 7 r.5509、Movable Type Premium 2.10 / 1.67 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2025/08/20-1100.html
影響を受けるバージョンは以下です。
ソフトウェア版
Movable Type / Movable Type Advanced
8.0.0から8.0.6、8.4.0から8.4.2(8系)
7 r.5508およびそれ以前(7系)
Movable Type Premium / Movable Type Premium (Advanced Edition)
2.09およびそれ以前(2系)
1.66およびそれ以前(1系)
クラウド版
Movable Type
8.6.0(8系)
7 r.5508(7系)
Movable Type Premium
2.09(2系)
1.66(1系)
脆弱性を修正したバージョンは以下です。
Movable Type / Movable Type Advanced 8.7.0(クラウド版のみの提供)
Movable Type / Movable Type Advanced 8.0.7、8.4.3(ソフトウェア版のみの提供)
Movable Type / Movable Type Advanced 7 r.5509
Movable Type Premium / Movable Type Premium (Advanced Edition) 2.10
Movable Type Premium / Movable Type Premium (Advanced Edition) 1.67
関連するプラグインにつきまして
脆弱性を修正した上記のMovable Typeバージョンに対して、Aシリーズプラグイン(A-Form、A-Member、A-Reserve)の最新バージョン(MT8:5.0.1、MT7:4.1.5)は動作確認済みであることがプラグインの開発会社である株式会社アークウェブ様よりアナウンスされています。
https://www.ark-web.jp/movabletype/blog/2025/08/movable_type_870_843_807_7_r5509_a.html
脆弱性の内容
以下のような影響が考えられるとのことです。
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があるとのことです。
- 改ざんされたパスワードリセットメールを送信される(CVE-2025-53522)
- パスワードリセット画面で不正なパラメータを挿入され、任意のURLへリダイレクトされる(CVE-2025-55706)
- 同プラグインの更新・アップデートをご検討される場合はお問い合わせください。
Movable TypeのアップグレードサービスMTune:https://encreate.co.jp/mt/up.html
弊社サービスや各事例などのお問い合わせは、お気軽にご連絡ください。
オンラインミーティングも承ります。