これまでに発見または、報告された多くの問題を解消しています。また、このバージョンでは複数のセキュリティ上の問題の解決や改善が含まれています。

新機能・改善された機能

• [MTC-27870] category、tag、field のモディファイアを組み合わせて指定した場合の MTEntries の性能を改善しました
• [MTC-27869] tag モディファイアを指定した場合の MTAssets の性能を改善しました
• [MTC-27839] mt_plugindata テーブルから不正なデータや重複したデータを削除するツールを用意しました
• [MTC-27823] parent_id のない子サイトを破損データとして修正または削除するツールを用意しました
• [MTC-27814] 古い履歴データの削除ツールを用意しました
• [MTC-27810] 記事、コンテンツデータ、テンプレートの編集ページの「更新履歴を表示」からモーダルで更新履歴一覧を表示する際に、破損したデータが見つかった場合、その場で削除するように改善しました
• [MTC-27004] Movable Type のバージョンアップ時に、Movable Type 自体のバージョンもアクティビティログに保存するようにしました。
• [MTC-27930] ReferrerPolicy 環境変数を新設し、ユーザが設定した値で Referrer-Policy ヘッダを追加できるようにしました
• [MTC-27926] キャプチャが見えにくい場合などに、キャプチャを更新できるようにしました
• [MTC-27910] tools/utf8mb4_converter を再実行可能にしました
• [MTC-27897] tools/utf8mb4_converter を utf8mb3 にも対応させました
• [MTC-27896, 27895] キャプチャの文字サイズや画質を調整しました
• [MTC-27894] Web サービス設定の Google Analytics について Google Analytics 4 (GA4) には対応していないメッセージを追加しました

MTクラウド

• [MTC-27027] 設定したアクセス制限の IP アドレスをログに残すようになりました
• [MTC-27003] Movable Type のバージョンアップログを自動削除対象から除外しました
• [CLOUD-66] run-periodic-tasks の CPU の利用制限の方法を改善しました
• [CLOUD-59] サーバー配信で配信対象とするファイルから Thumbs.db を除外しました
• [CLOUD-24] クラウド版で実行しているログの定期的な自動削除における削除対象を見直しました、詳しくはマニュアルをご覧ください
• [CLOUD-4] 証明書設定操作時のログメッセージを改善しました
• [CLOUD-74] MT::Mail のメールヘッダーが重複しないように改善しました

変更された機能

• [MTC-27893] Image::ExifTool を最新の 12.26 に更新しました
• [MTC-27861] jQuery Validation Plugin を 1.19.3 に更新しました
• [MTC-27860] TinyMCE を 5.8.1 に更新しました
• [MTC-27812] extlib に同梱されている JSON と JSON::PP をそれぞれ、4.03、4.06 に更新しました
• [MTC-27787] CodeMirror を 5.61.1 に更新しました
• [MTC-27785] mt.css を更新しました
• [MTC-27764] jQuery Migrate を 3.3.2 に更新しました
• [MTC-25441] 記事エクスポートのボタンの表記をインポートにあわせました
• [MTC-27948] 利用されていない MT::Blog::is_dynamic による条件分岐を削除しました
• [MTC-27928] システム情報からバージョン番号を外しました
• [MTC-27905] 環境変数 ImageDriver が GraphicsMagick もしくは ImageMagick であったときに、キャプチャでも設定させたドライバを優先して利用するようにしました

MTクラウド

• [CLOUD-78] Apache のバージョンを 2.4.48 に変更しました

修正された問題

セキュリティ上の修正、改善

• 複数のクロスサイトスクリプティング脆弱性を修正しました (CVE-2021-20808, CVE-2021-20809, CVE-2021-20810, CVE-2021-20811, CVE-2021-20815, CVE-2021-20812, CVE-2021-20813, CVE-2021-20814)

MTクラウド

• [CLOUD-67] www. が先頭につくドメインで、かつ「www有無を無視してどちらでもアクセスをできるようにする」 の設定が有効なときに Let's Encrypt による SSL 化が正しく設定されない問題を修正しました

サーバー配信

• [MTC-27942] rsync の外部拡張テンプレートが ftp 用の外部拡張テンプレートを呼ぶようになっている問題を修正しました

その他

• [MTC-27872] 翻訳項目の重複をなくしました
• [MTC-27858] list_template.tmpl で js のロードに失敗する問題を修正しました
• [MTC-27850] 再構築トリガーの設定を重複して登録でき、削除できない問題を修正しました
• [MTC-27828] コンテンツタイプのブロックエディタでアセット検索結果のページネーションリンクが表示されない問題を修正しました
• [MTC-27827] コンテンツタイプのブロックエディタで一部のアセットしか検索されない問題を修正しました
• [MTC-27599] テーマのエクスポート画面でオプションのチェックが外れる問題を修正しました
• [MTC-26950] サイト一覧で親サイトに紐付いていない子サイトも表示するように修正しました
• [MTC-26948] $blog->website が NULL になると管理画面でエラーになる可能性がある問題を修正しました
• [MTC-26467] 「コンテンツデータの作成」権限でコンテンツデータのステータス変更ができてしまう問題を修正しました
• [MTC-25839] manifest ファイルのインポートができない問題を修正しました
• [MTC-25816] ダイナミックの (content)calendar タグが server_offset の設定を正しく扱えていない問題を修正しました
• [MTC-25396] 権限の付与のモーダルに行うべきアクションが表示されない問題を修正しました
• [MTC-27982] MariaDB の10.5.1以降のバージョンを利用し、かつ、古い内部形式で保存されている項目を含むテーブルがある場合に、Movable Type のアップグレード時にエラーが発生する問題を修正しました
• [MTC-27952] MTCategoryCount がダイナミックパブリッシングで正しく動作しない場合がある問題を修正しました
• [MTC-27949] サイトパスが未設定のパスで全般設定を開いたときに Use of uninitialized value の警告がでないように修正しました
• [MTC-27941] WXRImporter 内部の script_url の誤字を修正しました
• [MTC-27935] 定型文のタイトルをエスケープするように修正しました
• [MTC-27932] ImageDriver が設定されていないときのシステムからのお知らせのメッセージに、GraphicsMagick を追加するように修正しました
• [MTC-27931] サイトパス未設定を警告する文言とリンク先が間違っているのを修正しました
• [MTC-27923] MTCategoryCount がカテゴリーフィールド以外も対象にしてしまう場合がある問題を修正しました
• [MTC-27913] 再構築のポップアップウィンドウを拡大した時の align-right が条件によって機能していない問題を修正しました
• [MTC-27912] RebuildTrigger の save アクションの権限チェックを修正しました
• [MTC-27907] エラーページを表示する際にも locallangid を設定するように修正しました
• [MTC-27906] テーマエクスポート時に Odd number of elements in hash assignment が発生する場合がある問題を修正しました
• [MTC-27899] コンテンツデータ関連の翻訳漏れを修正しました
• [MTC-27898] PSGI での動作時、リダイレクトで Use of uninitialized value の警告が出る問題を修正しました
• [SUPPORT-9] タグフィールドのサジェストがほかのフィールドの裏側に入り込んで選択できない問題を修正しました
• [SUPPORT-10] タグフィールドのサジェストをキーボードで選択可能に修正しました

廃止予定

• [MTC-26419] デザインテーマ Pico をオープンソースにして廃止予定です

Thanks To

脆弱性情報のハンドリングにご協力いただいた IPA、JPCERT/CC に感謝します。