En bref

  • CVE-2026-25776 — Injection de code Perl arbitraire dans Movable Type via le Listing Framework (CVSS 9.8)
  • Versions affectées : Movable Type 9.x avant 9.0.7, 8.8.x avant 8.8.3 et 8.0.x avant 8.0.10
  • Action urgente : appliquer les correctifs 9.0.7, 8.8.3 ou 8.0.10 selon votre branche

Les faits

La vulnérabilité CVE-2026-25776, publiée le 8 avril 2026, touche Movable Type, le système de gestion de contenu (CMS) développé par Six Apart Ltd. Avec un score CVSS de 9.8 sur 10, cette faille est classée critique. Elle a été référencée sous l'identifiant interne MTC-31204 par l'éditeur. Le problème réside dans le processus de filtrage du Listing Framework de Movable Type, où une validation insuffisante des entrées utilisateur permet l'injection et l'exécution de code Perl arbitraire dans le contexte de l'application.

Contrairement à une injection de commandes classique qui ciblerait le système d'exploitation, cette vulnérabilité exploite spécifiquement l'interpréteur Perl sous-jacent de Movable Type. Un attaquant distant et non authentifié peut soumettre des données spécialement conçues qui seront évaluées dynamiquement comme du code Perl par le moteur de filtrage. Six Apart Ltd. a publié les correctifs le même jour sous forme de mises à jour de sécurité : Movable Type 9.0.7, 8.8.3 et 8.0.10. L'advisory officiel confirme la criticité maximale de cette faille et recommande une application immédiate des correctifs.

Movable Type reste largement utilisé dans les environnements d'entreprise, notamment au Japon et en Asie, mais également dans de nombreuses organisations occidentales qui n'ont pas encore migré vers des CMS plus récents. La présence de cette faille dans le Listing Framework, un composant central du CMS, élargit considérablement la surface d'attaque. Cette situation rappelle les injections critiques récentes dans d'autres plateformes web comme GitLab.

Impact et exposition

Toute instance de Movable Type exposée sur Internet et utilisant une version vulnérable est à risque immédiat. L'exploitation ne requiert aucune authentification préalable, ce qui signifie que n'importe quel attaquant ayant accès au frontend du CMS peut potentiellement déclencher l'exécution de code. L'impact d'une exploitation réussie est une compromission complète du serveur : lecture de fichiers de configuration contenant les identifiants de base de données, modification du contenu du site, installation de webshells, et potentiellement pivot vers d'autres systèmes du réseau interne. Les organisations qui hébergent Movable Type sur des serveurs mutualisés exposent également les autres sites hébergés sur la même infrastructure. Aucune exploitation active n'a été confirmée publiquement, mais la criticité du score CVSS et la publication des détails techniques rendent une exploitation probable à court terme.

Recommandations immédiates

  • Appliquer immédiatement le correctif correspondant à votre branche : Movable Type 9.0.7, 8.8.3 ou 8.0.10 — advisory Six Apart Ltd. Security Bulletin MTC-31204
  • Si la mise à jour est impossible dans l'immédiat, restreindre l'accès au backend Movable Type via des règles de pare-feu ou une authentification HTTP additionnelle au niveau du serveur web
  • Auditer les logs d'accès Apache/Nginx pour détecter des requêtes anormales ciblant les endpoints du Listing Framework
  • Vérifier l'intégrité des fichiers du CMS en comparant avec une installation propre pour détecter d'éventuels webshells
  • Scanner les bases de données pour identifier toute modification suspecte du contenu

⚠️ Urgence

Score CVSS 9.8, exploitation sans authentification, impact direct sur l'exécution de code : cette vulnérabilité dans Movable Type exige un patch immédiat. Les instances exposées sur Internet sans correctif constituent des cibles de choix pour les attaquants automatisés.

Comment savoir si je suis vulnérable ?

Connectez-vous à votre interface d'administration Movable Type et vérifiez la version affichée dans le pied de page ou via le menu Système > Information. Si votre version est antérieure à 9.0.7 (branche 9.x), 8.8.3 (branche 8.8.x) ou 8.0.10 (branche 8.0.x), vous êtes vulnérable. Vous pouvez également vérifier en ligne de commande avec perl -e "use MT; print MT->VERSION" depuis le répertoire d'installation.

Les sites statiques générés par Movable Type sont-ils aussi exposés ?

Les pages statiques générées ne sont pas directement vulnérables car elles ne passent pas par l'interpréteur Perl. Cependant, l'interface d'administration et les endpoints dynamiques du Listing Framework restent exposés si accessibles. Le risque principal concerne la compromission du serveur hébergeant Movable Type, qui pourrait permettre à un attaquant de modifier les pages statiques générées pour y injecter du contenu malveillant.

Votre CMS est-il sécurisé ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger les vulnérabilités de vos plateformes web.

Demander un audit