Movable Type に複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は8月20日、Movable Typeにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

・ソフトウェア版
Movable Type / Movable Type Advanced
　8.0.0から8.0.6、8.4.0から8.4.2（8系）
　7 r.5508およびそれ以前（7系）
Movable Type Premium / Movable Type Premium (Advanced Edition)
　2.09およびそれ以前（2系）
　1.66およびそれ以前（1系）

・クラウド版
　Movable Type
　8.6.0（8系）
　7 r.5508（7系）
Movable Type Premium
　2.09（2系）
　1.66（1系）

　シックス・アパート株式会社が提供するMovable Typeには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・信頼性の低い送信元の使用（CVE-2025-53522）
→改ざんされたパスワードリセットメールを送信される

・オープンリダイレクト（CVE-2025-55706）
→パスワードリセット画面で不正なパラメータを挿入され、任意のURLへリダイレクトされる

　JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。シックス・アパートは、本脆弱性を修正した下記のバージョンをリリースしている。

Movable Type / Movable Type Advanced 8.7.0（クラウド版のみの提供）
Movable Type / Movable Type Advanced 8.0.7、8.4.3（ソフトウェア版のみの提供）
Movable Type / Movable Type Advanced 7 r.5509
Movable Type Premium / Movable Type Premium (Advanced Edition) 2.10
Movable Type Premium / Movable Type Premium (Advanced Edition) 1.67

元の記事を読む