起きたこと #
JPCERT/CC は 2026 年 5 月 20 日、シックス・アパート社の Movable Type / Movable Type Advanced / Movable Type Premium に「権限チェックの欠如 (CWE-862)」の脆弱性 (CVE-2026-44392) があると公表した。JVN の説明によれば、特定状況下において管理権限のないユーザがサインインすると、意図しないアップデート処理が実行される可能性がある。
影響を受けるのは Movable Type 9.1.1 以前、9.0.7 以前、8.8.3 以前、8.0.10 以前、および Premium 系の同等バージョン。CVSS 4.0 基本値は 5.3 (Medium)、CVSS 3.0 は 4.3。シックス・アパートからは修正版が提供済みである。
何が怖いか — 「寄稿者アカウント」が踏み台になる構造 #
CWE-862 は権限境界そのものが破られるバグで、攻撃の起点は「ログイン済みの非管理ユーザ」だ。CVSS 数値は中程度だが、Movable Type は国内の大学・自治体・大企業サイトに採用例が多い CMS で、寄稿者・編集者・モデレータといったマルチアカウント運用が前提になっている。退職者の残存アカウント、外部ベンダーに払い出した一時アカウント、CMS 入門講座などで配った検証用アカウント ── そうした「目を離していたアカウント」が、本来管理者しか触れないアップデート系の処理を蹴れてしまう。
サイト改ざんや、CMS を起点としたサプライチェーン汚染(配信スクリプトの差し替えなど)の足場として、十分に実害化し得る経路である。
今やること #
- シックス・アパート公式アドバイザリを確認し、使用バージョンをパッチ済み (9.x / 8.x の修正版) に更新
- ダッシュボード以外に 寄稿者・編集者・退職者アカウントを棚卸し、不要なものは削除 / パスワードリセット
- WAF / Reverse Proxy 側でも
/mt-cgi等の管理系パスへのアクセス IP 制限を再点検
参考 #
- JVN#56484285「Movable Type における権限チェックの欠如の脆弱性」 - https://jvn.jp/jp/JVN56484285/
- シックス・アパート公式セキュリティ告知 (CVE-2026-44392)
COMMENTS 0
No comments yet — be the first to leave one.