Mauticにテーマ経由RCE、CVE-2026-9558、5月の7CVEまとめパッチで修正
オープンソースのマーケティングオートメーション「Mautic」に、テーマアップロード機能経由でリモートコード実行できるCVE-2026-9558(CVSS 9.9)。Twigテンプレートがサンドボックスなしでレンダリングされていた。修正版は7.1.2 / 6.0.9 / 5.2.11 / 4.4.20(ELTS)。同じリリースでSQLi・SSRF・パストラバーサルなど合計7件のCVEがまとめてパッチ。Acquiaが日本法人で支援するMA基盤、18,000サイトが影響対象。
堀川 慎
Backend Engineer / AWS / Django / Go
オープンソースのマーケティングオートメーション「Mautic」に、テーマアップロード機能経由でリモートコード実行できるCVE-2026-9558(CVSS 9.9)。Twigテンプレートがサンドボックスなしでレンダリングされていた。修正版は7.1.2 / 6.0.9 / 5.2.11 / 4.4.20(ELTS)。同じリリースでSQLi・SSRF・パストラバーサルなど合計7件のCVEがまとめてパッチ。Acquiaが日本法人で支援するMA基盤、18,000サイトが影響対象。
オープンソースのマーケティングオートメーション基盤「Mautic(マウティック)」に、テーマ(メールやランディングページのテンプレート集)をアップロードできる管理者が、サーバ上で任意コードを実行できる脆弱性が見つかりました。CVSS は 9.9(Critical)、CVE は CVE-2026-9558。修正版は 2026年5月28日に同時公開された 7.1.2 / 6.0.9 / 5.2.11 / 4.4.20(ELTS)の4ブランチです。
単発のSSTI(サーバサイド・テンプレートインジェクション)に見えますが、本件の本当の重さは「同じリリースに合計7件のCVEが束ねて入っている」点にあります。SQLインジェクション、SSRF、パストラバーサル、APIの認可バイパス、ストアド XSS が2件、そして今回の Twig SSTI が一気に開示されました。1か月分の脆弱性が1つのアップデートに圧縮されて降ってきた格好です。
Mautic は HubSpot や Marketo の「自社運用できるオープンソース版」として、Acquia(Drupalの母体企業)が買収後に開発を主導しています。Acquia Japan は東京リージョン対応を正式発表済みで、国内でも GIG・ND&I;・concrete5 Japan・キーウォーカーといった代理店・SI が導入支援サービスを提供しています。WebTechSurvey の集計では世界で18,483サイトが稼働、GitHubスター 7.9k のリポジトリです。B2B 企業のメール配信・リード管理を Mautic で自社運用しているチームは、本記事の前提条件に該当します。
何が起きたのか — 早見表
本件の論点を1枚で整理します。「自分のチームの Mautic が踏まれる組み合わせかどうか」を最初に判定するためのテーブルです。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-9558 |
| CVSS | 9.9(Critical、CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H) |
| CWE | CWE-1336 (テンプレートエンジンにおける 不適切な特殊要素の無害化) |
| 対象製品 | Mautic (オープンソース版・ Acquia Marketing Cloud版の両方) |
| 影響バージョン | 7.x:< 7.1.2 6.x:< 6.0.9 5.x:< 5.2.11 4.4.x:< 4.4.20(ELTS) |
| 修正版リリース日 | 2026年5月28日 (4ブランチ同時) |
| 攻撃の前提条件 | 認証済みユーザ、かつcore:themes:create権限の付与 |
| 攻撃成立で何が取られるか | Webサーバプロセス権限での 任意コード実行(RCE) =Mautic完全乗っ取り |
| 同梱CVE件数 | 同リリースに合計7件 (SSTI/SQLi/SSRF/ Path Traversal/Authz Bypass/ Stored XSS x2) |
| 回避策 | 公式回避策なし (緩和: テーマ権限を 信頼できる管理者のみに制限) |
攻撃に「認証」と「特定権限」が必要なため CVSS の PR:L がついていますが、Scope が Changed(攻撃が脆弱コンポーネントの外側に波及)と評価された結果、最終スコアは 9.9 まで跳ね上がりました。これは「Mautic 自体を踏まれた瞬間に、その背後の顧客DB・送信元メールアドレス・連携先 CRM の API キーまでもが同じ侵害セットで持ち去られる」ことを CVSS の数式が反映した値です。
Mautic とは — オープンソース版の HubSpot
Mautic は、メール配信・ランディングページ作成・キャンペーン自動化・スコアリング・行動トラッキングまでを1本でカバーする、自社運用型のマーケティングオートメーション(MA)基盤です。Symfony ベースの PHP アプリで、自社サーバや AWS/Acquia 上で動かせます。
2014年に独立 OSS としてスタートし、2019年に Acquia(Drupal の創業者 Dries Buytaert が立ち上げた米企業)が買収。以後、Acquia Marketing Cloud の中核として商用展開と OSS 版の二本立てが続いています。HubSpot や Marketo が月数十万円〜数百万円コースのところを、自社運用なら月100〜150ドル規模に収まる、というコスト構造が選ばれる理由です。
国内では キーウォーカー、GIG、ND&I;、concrete5 Japan といった代理店・SI が導入支援を提供しており、中小企業のBtoBマーケティング部門が「HubSpot は高すぎる、けれど Salesforce 連携や独自フォーム要件は譲れない」というケースで採用しています。Acquia Japan も2018年12月の東京リージョン対応発表で、日本市場を「高度成長市場」と位置づけています。
問題のテーマ機能は、Mautic がメール本文やランディングページのデザインを差し替えるための「皮」の部分を、独自のテンプレートパッケージ(ZIP)として読み込む仕組みです。テンプレートエンジンには Symfony 標準の Twig が採用されており、運用者は管理画面の「テーママネージャ」からカスタムテーマの ZIP を直接アップロードできます。この経路に、サンドボックス保護がかかっていなかったのが本CVEの根っこです。
攻撃者像と狙い — Mautic の管理者口座を欲しがる相手
「認証必須・テーマ作成権限必須」と聞くと、内部不正シナリオしか思い浮かばないかもしれません。しかし MA 基盤は「マーケティング部門のアシスタント」「外部代理店の担当者」「年4回の大型キャンペーンだけ動く季節アカウント」など、テーマ編集権限が広めに撒かれがちな構造を持っています。本CVEを商業的に欲しがる人間が、その境界線をどう探し、何を持ち出すのかを具体的に並べます。
この穴の価格表に名前を載せたい層は、企業のSPF/DKIM/DMARC を通過済みの送信ドメインを再利用してフィッシングを一斉発射したいビジネスメール詐欺グループ、製薬・金融・人材業界の見込み客リストを名簿屋に転売する東欧系のクレデンシャル販売チーム、Salesforce や HubSpot の連携 OAuth トークンを抜いて CRM 本体に横展開したいランサムウェア・アフィリエイト、そして「マーケ部門が出入りする外部代理店のテーマ編集権限が広く付与されている」事実そのものを INITIAL ACCESS として月額制で売る Access Brokerといった面々です。彼らが Mautic を一度踏めば、企業の顧客 DB(メールアドレス・氏名・行動履歴・スコア値)、購読者全員のオプトイン同意ログ、送信元として使われている法人ドメインと配信IPの reputation 評価、Salesforce/HubSpot/Zoho 連携の API キー、SMTP リレー(SendGrid/SES)のサインキー、そして既に下書き状態で保存されている次回キャンペーンメールの原稿一式が同じセッションで手元に複製されます。本CVE-2026-9558 を踏ませた瞬間、上の山がそのまま外に出ます。
事前偵察は MA 基盤特有の機械化が効きます。Mautic は /index.php/s/login や /mtc/login といった既定URLが特徴的で、Shodan/Censys で「Mautic Login」文字列を含むレスポンスを検索するだけで世界の稼働インスタンスが取れます。導入支援代理店のサイト構成を読み込めば「テーマ作成権限はマーケ部門のアシスタント職にも配ってください」と書かれた運用マニュアルが容易に見つかり、攻撃者はそのまま 季節アカウント・退職者アカウント・外注テンプレデザイナーのアカウントを狙ったクレデンシャルスタッフィングを差し込めば良い、という設計図が出来上がってしまっています。CISA KEV ダッシュボード側にも過去 Mautic の RCE 案件(CVE-2024-47051 等)がエントリされており、外形監視・パッチ追従の対象に Mautic を入れている SOC は少数派という現実があります。
CVSS 9.9 という数字は、Mautic を動かしているコンテナ1個の権限が奪われる技術的な深刻度を示すものです。マーケティング部門と情シスにとって本当に失われるのは、5年積み上げてきた配信ドメインの reputation、ステップメールでようやく信頼を育ててきた数十万件のオプトイン読者、Salesforce 連携でつながっていた商談履歴と提案書原本、そして「このメールは本物だ」と顧客に思ってもらえていた送信元としてのブランド信用そのものです。特に、年に1度の大型キャンペーン直前にこのバグが踏まれて配信ドメインが汚染された場合、その四半期の売上予算がそのまま吹き飛ぶ構造になっている点が、本CVEのもっとも厄介な側面です。
攻撃の届く先 — 3層境界表
Mautic の運用パターン別に、本CVEが届くもの・届かないものを整理します。読者の自分ごと判定を最速化するためのテーブルです。
| 運用パターン | CVE-2026-9558で 届くもの | 届かないもの (別CVE/別ルートが必要) |
|---|---|---|
| 自社サーバで運用する 中小B2B企業の マーケ部門 | ○ Mautic Webサーバ プロセス権限の奪取 ○ 顧客DB全件 ○ オプトイン同意ログ ○ SendGrid/SES の API シークレット | × 同居している 基幹DB本体 × 社内 AD/Entra ID × ホストOS root (要権限昇格) |
| 代理店・SI が複数顧客に SaaS的にホストする マルチテナント運用 | ○ 同居全テナントの Mautic データ横展開 ○ テナント間の メール下書き相互参照 ○ 共通プロキシ経由の Salesforce 連携情報 | × 顧客固有の 別契約 CRM 本体 × 代理店の社内会計DB (管理ネットワーク次第) |
| Acquia Marketing Cloud マネージドホスティング (商用版) | ○ テナント領域内の RCE は同様に成立 ○ テーマ・テンプレ・ 顧客リスト | × Acquia コントロール プレーン × 他テナントへの横展開 (マルチテナント分離次第) *Acquia 側の管理パッチ 適用状況に依存 |
特に 代理店・SI のマルチテナント運用パターンは深刻です。1つの代理店アカウントが各顧客テナントを横断的にいじれる設計になっているケースでは、1か所の脆弱性ニュースを見落とした結果、顧客全社の Mautic を一晩で連鎖的に奪われるリスクがあります。代理店の運用者は、契約済み全顧客の Mautic バージョンを横並びに可視化する作業が、今夜〜明朝の優先タスクです。
CVE-2026-9558 の中身 — Twig がサンドボックスなしで走っていた
本CVEの技術的な根は、Mautic がアップロードされたテーマ内の Twig テンプレートを「サンドボックスも関数制限も付けずに」レンダリングしていたことに尽きます。公式GitHub Security Advisory(GHSA-9fx4-7cmj-47vg)の表現を借りれば「The platform renders uploaded Twig templates without a sandbox or strict function restrictions.」です。
Twig には SandboxExtension という仕組みがあり、ユーザ提供のテンプレートを評価する際は「使えるタグ・フィルタ・メソッドのホワイトリスト」を必ず通すのが定石です。これが効いていないと、テンプレート式の中から {{ _self.env.registerUndefinedFilterCallback("system") }} 系の古典的なサンドボックスバイパスや、{{ ['id']|map('system') }} 風の関数呼び出しが通り、結果として PHP プロセスの権限で任意のシステムコマンドが走ります。SSTI の教科書通りのケースが Mautic で素のまま再現された、という構造です。
攻撃の起点になるのは、Mautic の権限モデルにおける core:themes:create ロールです。これは Mautic の権限マニュアルに従って、テーマの作成・アップロード操作に対して付与する権限。多くの運用現場では、デザイナー職・マーケ部門のアシスタント・外部のテンプレ制作代理店アカウントなどに「メールデザインを編集してもらうため」に広めに配布されており、いわゆる「特権管理者だけが持っている」という設計にはなっていません。
攻撃シナリオを言葉で並べると次の通りです。攻撃者は テーマ作成権限のあるアカウントを1つ手に入れる(クレデンシャルスタッフィング、フィッシング、退職者アカウントの掃除忘れ、外注先アカウントの侵害など)、Twig 式を仕込んだテーマZIPをアップロード、そのテーマをプレビューまたは適用、レンダリング時に Twig 式が評価されて任意コマンドが走る。サンドボックスがないので難読化テクニックも不要で、教科書ペイロードがそのまま通ります。
同日リリースの7CVE一覧 — 1か月分の脆弱性が1リリースに圧縮
本リリース(7.1.2 / 6.0.9 / 5.2.11 / 4.4.20)に同梱された CVE は CVE-2026-9558 だけではありません。Mautic Community 7.1.2 のリリースノート(Aludra Edition)に並べられたパッチを抜き出すと7件です。
| CVE | 種別 | 場所 | 前提条件 |
|---|---|---|---|
| CVE-2026-9558 CVSS 9.9 | SSTI (テンプレ注入RCE) | テーマテンプレート レンダリング (Twig) | 認証済み+ core:themes:create |
| CVE-2026-4776 | SQL Injection | API の コンタクトフィルタ | API アクセス権 を持つトークン |
| CVE-2026-9557 | SSRF | Mautic Focus コンポーネント | Focus 機能の 編集権限 |
| CVE-2026-9559 | Path Traversal | キャンペーン インポート機能 | キャンペーン 編集権限 |
| CVE-2026-9808 | 認可バイパス | API v2 エンドポイント | API アクセス権 を持つ低権限 |
| CVE-2026-9809 | Stored XSS | Projects コンポーネント | プロジェクト 編集権限 |
| CVE-2026-9811 | Stored XSS | Project Option Selector | プロジェクト 編集権限 |
合計7件のうち5件が「認証済み低権限ユーザ」を起点に成立する構成です。MA 基盤の運用現場では、外部代理店・契約デザイナー・季節キャンペーン要員に「とりあえずプロジェクト編集権限」「とりあえずAPIキー発行」が配られがちなため、本CVE一発で踏まれて済む話ではなく「踏まれた後、横スライドできる経路がいくつも開いている」と読むのが正確です。
CVE-2026-9558: テーマテンプレートの Twig SSTI(CVSS 9.9)
本記事の主役。詳細は前セクションの通り。GHSA は GHSA-9fx4-7cmj-47vg。リポーターは onurcangnc ・ xfer0 ・ Entropt の3名。修正レビューを担当したのは Mautic コアコミッタの patrykgruszka と escopecz。
CVE-2026-4776: API のコンタクトフィルタ SQL インジェクション
外部システムから Mautic のコンタクトを検索する API でフィルタ条件にユーザ入力が混ざる経路。GHSA は GHSA-fcmw-wx57-9p75。CRM 連携の自動スクリプトに付与しているAPIトークンが侵害されると、コンタクトDB全件抜きにつながります。
CVE-2026-9557: Focus コンポーネントの SSRF
Mautic Focus は、サイト訪問者にポップアップ・バナー・通知バーを表示するための Mautic 標準コンポーネントです。ここに SSRF が見つかりました。GHSA は GHSA-jmv8-8j9j-rcpc。クラウド環境では 169.254.169.254 のメタデータエンドポイント経由でインスタンスロールのクレデンシャル奪取に発展しうる定番経路です。
CVE-2026-9559: キャンペーンインポートの Path Traversal
キャンペーン定義の JSON インポート機能で、添付ファイル名のパス検証に欠陥。GHSA は GHSA-6r9h-4h75-7q4x。../../app/config/local.php のような相対パスで設定ファイルの読み書きに届きます。
CVE-2026-9808: API v2 の認可バイパス
本来 Manager 以上の権限が必要な v2 エンドポイントが、低権限トークンでも叩けてしまう設計欠陥。GHSA は GHSA-2jrw-c95w-h43g。本CVE単体では情報漏洩寄りですが、CVE-2026-9558 と組み合わせると「APIキー1本で → 低権限トークン作成 → テーマ作成権限への昇格 → SSTI 起爆」の連鎖チェーンが描けます。
CVE-2026-9809 / CVE-2026-9811: Projects 系の Stored XSS(2件)
プロジェクト名やオプションセレクタの値にスクリプトを混入できるストアド XSS。GHSA はそれぞれ GHSA-7h65-whp7-rgqfとGHSA-5hvg-w58j-545m。直接 RCE には届きませんが、管理者が画面を開いた瞬間にセッショントークンを抜く経路として、上記の認可バイパスや SSTI と組み合わさると侵害連鎖の起点になります。
バージョン別影響範囲早見表 — どのブランチで何を入れるか
Mautic は LTS / ELTS 制度を採用しているため、現役で動いているバージョンが4系統に分かれます。それぞれの「入れるべき修正版」と「サポート状況」を整理します。
| ブランチ | 該当する人 | 入れる修正版 | サポート状況 |
|---|---|---|---|
| 7.x (最新) | 2026年4月の 7.0 / 7.1 系を 運用中の組織 | 7.1.2 (Aludra Edition) | アクティブ サポート中 |
| 6.0 LTS (Tabit Edition) | 2025年3月の 6.0 系統を 長期運用中の組織 | 6.0.9 | LTS (〜2026年9月) |
| 5.2 LTS (Capella Edition) | 2024年1月の 5系統を 運用中の組織 | 5.2.11 | LTS (最終 セキュリティリリース) |
| 4.4 (ELTS:有償) | 2022年版を PHP 7.4-8.0 上で 動かしている組織 | 4.4.20 (ELTS加入者のみ) | 有償 ELTS (〜2026年12月) 2年で約 $4,000〜 |
| 4.x 以前 | 3系・2系を 放置している組織 | 公式パッチなし (バージョンアップ必須) | EOL (コミュニティ 支援終了済み) |
注意すべきは 4.4.20 が有償ELTS加入者にのみ提供される点です。Mautic ELTSは2年で約4,000ドル(コーポレートメンバー割引あり)の有償プログラム。4.4 系を「PHP 7.4 環境で動かしているから動作確認のリスクが取れない」という理由で塩漬けにしているチームは、ELTSに加入していない限り公式パッチが降ってきません。実質的には5.2.11 への移行を急ぐか、ELTS契約を結ぶかの二択になります。
運用者がいま打つべき5つのアクション
本CVEの「認証必須+特定権限必須」という前提を踏まえると、純粋なパッチ適用だけで終わる話ではありません。権限が広めに撒かれていないかの棚卸しがセットで必要です。
- 該当ブランチへの即時アップグレード:7.x → 7.1.2、6.x → 6.0.9、5.x → 5.2.11。ELTS契約者は 4.4.20 を適用。4.x未満は塩漬けを諦めて 5.2.11 へ移行する判断を今夜中に下す。
- テーマ作成権限ユーザの棚卸し:管理画面 > 設定 > ロール で
core:themes:create権限が付いているロールを確認し、本当に必要な人だけに絞る。外注デザイナー・退職者・季節アカウントは即剥奪。 - テーマ・テンプレートの差分監査:直近30日に新規アップロードされたテーマ ZIP の中身を grep(
_self・env・getFunction・map(等の文字列)。既に踏まれていれば不審な Twig 式が残っている可能性。 - APIトークンの棚卸し:同梱の CVE-2026-4776(API SQLi)と CVE-2026-9808(API v2 認可バイパス)の対策として、現在発行中の APIトークンを一覧し、不要なものは無効化。CRM連携用のキーは Mautic アップグレード後に再発行を推奨。
- ログ監査と不正管理者の検出:直近30日の管理者ロール変更・新規ユーザ作成・テーマアップロードのアクセスログを、不審な IP からの操作がないか確認。マネージドホスティング(Acquia含む)利用組織はベンダ提供のセキュリティログ確認も同時に。
同型の OSS サプライチェーン経由インシデント全般を継続ウォッチしたい運用者には、OSS サプライチェーン スキャナー および CISA KEV ダッシュボード(日本語版)を併用するパターンが、外形監視の網羅性を上げます。
時系列 — Mautic 5月セキュリティバッチの公開まで
本リリースに至るまでの主要イベントをタイムライン UI で並べます。「3か月前の通常バグ修正リリース → 1か月分の脆弱性をまとめて開示する5月バッチ」までの流れを確認できます。
← スワイプで移動
まとめ
CVE-2026-9558 は、Mautic がアップロードされたテーマ内の Twig テンプレートをサンドボックスなしでレンダリングしていた結果、テーマ作成権限を持つ認証済みユーザがサーバ上で任意コードを実行できる脆弱性です。CVSS 9.9 という値は、Scope:Changed が効いた結果として「Mautic 1台が踏まれた瞬間に、その背後の顧客DB・連携先 CRM トークン・配信ドメインの reputation まで連鎖して失われる」現実を数式に落としたものです。
本リリースに同梱された CVE は合計7件で、5件が「認証済み低権限ユーザ」起点です。Mautic の運用現場では外部代理店・契約デザイナー・季節アカウントへの権限付与が広めに設計されがちで、純粋なパッチ適用だけでなく core:themes:create 権限の棚卸しとAPIトークンの再発行をセットで進める必要があります。4.4 系を ELTS 契約なしで動かしている組織は、本リリースで公式パッチが来ないため 5.2.11 への移行判断を急ぐタイミングです。
B2B マーケティングの現場で Mautic を選んだ理由は「自社運用で月数万円コースのコスト構造」と「HubSpot にない独自フォーム要件」でした。その引き換えに、月1回ペースで降ってくる4ブランチ同時パッチを SOC ではなくマーケ部門の担当者が追いかける運用が常態化しています。今夜のうちに自社の Mautic バージョンを確認し、該当する修正版への移行スケジュールをカレンダーに入れることをお勧めします。
参照元
- ▶NVD — CVE-2026-9558
- ▶Mautic Security Advisory — GHSA-9fx4-7cmj-47vg
- ▶Mautic Community 7.1.2 Aludra Edition リリースノート
- ▶Mautic Releases ページ
- ▶Mautic Extended Long Term Support(ELTS)
- ▶Mautic Documentation — Managing Roles
- ▶WebTechSurvey — Mautic Usage Statistics
- ▶アクイアジャパン — Mautic東京リージョン対応発表
- ▶CISA KEV ダッシュボード(日本語版)
- ▶OSS サプライチェーン スキャナー