Movable Typeに脆弱性が見つかりました(2026年2月4日(水))
JVN#45405689 Movable Typeにおける複数の脆弱性
https://jvn.jp/jp/JVN45405689/
※JVN は、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトで、JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。
[重要] Movable Type 9.1.0 / 9.0.6 / 8.8.2 / 8.0.9、Movable Type Premium 9.1.0 / 9.0.6 / 2.14 の提供を開始(セキュリティアップデート) 2026年 2月 4日(水)
https://www.sixapart.jp/movabletype/news/2026/02/04-1100.html
影響を受けるバージョンは以下です。
ソフトウェア版
Movable Type / Movable Type Advanced
9.0.4から9.0.5まで(9.0系)
8.8.0から8.8.1まで(8.8系)
8.0.2から8.0.8まで(8.0系)
Movable Type Premium / Movable Type Premium(Advanced Edition)
9.0.4(MTP 9.0系)
2.13およびそれ以前(MTP 2系)
クラウド版以外では、上記に加えてサポートが終了している7系および8.4系も本脆弱性の影響を受けるとのことです。
Movable Type クラウド版
Movable Type
9.0.5(9系)
8.8.1(8系)
Movable Type Premium
9.0.5(9系)
2.12(MTP 2系)
脆弱性に対して以下の対応が完了しているとのことです。
- CSV ファイルのエクスポート機能において、数式インジェクション対策を実施
セルが特定の文字で始まる場合にエスケープ処理を行う環境変数 CSVExportEscapeFormula と、BOM の有無を制御する環境変数 CSVExportWithBOM を追加(CVE-2026-24447) - コメント編集画面およびテーマの一覧画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正(CVE-2026-21393)
- サイトのエクスポート機能において、クロスサイトスクリプティング(XSS)が発生する問題を修正(CVE-2026-22875)
- 記事の編集画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正(CVE-2026-23704)
同プラグインの更新・アップデートをご検討される場合はお問い合わせください。
Movable Typeのアップグレードサービス
MTune:https://encreate.co.jp/mt/up.html
弊社サービスや各事例などのお問い合わせは、お気軽にご連絡ください。
オンラインミーティングも承ります。