概要
シックス・アパート株式会社 が 提供 する CMS「Movable Type」に 複数 の 脆弱性 が 報告 されています。本 CVE(CVE-2026-33088)は SQL インジェクション(CWE-89)で、CVSS 9.8 の Critical 評価 です。同時 に コードインジェクション(CWE-94、CVE-2026-25776)も 報告 されています。
SQL インジェクション は 認証 なし で ネットワーク 経由 から 悪用 可能 な ため、Movable Type を 利用 した Web サイト では 速やか な 対応 が 必要 です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSS v3 スコア | 9.8 (Critical) |
| 攻撃元区分 (AV) | ネットワーク |
| 攻撃条件の複雑さ (AC) | 低 |
| 必要な特権 (PR) | なし |
| ユーザー関与 (UI) | なし |
| 影響範囲 (S) | 変更なし |
| 機密性への影響 (C) | 高 |
| 完全性への影響 (I) | 高 |
| 可用性への影響 (A) | 高 |
影響を受けるソフトウェア
- 製品名: Movable Type
- ベンダー: シックス・アパート株式会社
- 影響バージョン: シックス・アパート社 の アドバイザリ を 参照 してください
含まれる脆弱性
| CVE ID | CWE | 脆弱性の種類 |
|---|---|---|
| CVE-2026-33088 | CWE-89 | SQL インジェクション |
| CVE-2026-25776 | CWE-94 | コードインジェクション |
修正バージョンと回避策
シックス・アパート社 が 提供 する 修正版 へ の アップデート を 推奨 します。詳細 な 修正バージョン は シックス・アパート社 の セキュリティ アドバイザリ を 確認 してください。
- アップデート が 困難 な 場合 は、WAF(Web Application Firewall)による 暫定的 な 防御 を 検討 してください
- 管理画面 への アクセス制限(IP 制限 等)も 有効 な 緩和策 です
報告者
- CVE-2026-25776: GMOサイバーセキュリティ byイエラエ株式会社 小田切祥 氏(製品開発者 へ 直接報告)
- CVE-2026-33088: 製品開発者 が JPCERT/CC に 報告
関連リンク
データソース: NVD (NIST), JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。