Movable Type 8.0.9 リリースノート
これまでに発見または、報告された問題を解消しています。また、このバージョンでは複数のセキュリティ上の問題の解決や改善が含まれています。
修正された問題
セキュリティ上の修正、改善
- CSV ファイルのエクスポート機能において、数式インジェクション対策を行いました。セルが特定の文字で始まる場合にエスケープ処理を行う環境変数
CSVExportEscapeFormulaと、BOM の有無を制御する環境変数CSVExportWithBOMを追加しました (CVE-2026-24447, MTC-30835) - コメント編集画面およびテーマの一覧画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正しました (CVE-2026-21393, MTC-31001)
- サイトのエクスポート機能において、クロスサイトスクリプティング(XSS)が発生する問題を修正しました (MTC CVE-2026-22875, MTC-31002)
- 記事の編集画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正しました (CVE-2026-23704, MTC-31104)
謝辞
リリースにあたり不具合の報告や機能要望をしていただいた皆様すべてに感謝します。
特に次の皆様には、個別に感謝します。
- 脆弱性情報のハンドリングにご協力いただいた JPCERT/CC, IPA に感謝します
- GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 (CVE-2026-21393, MTC-31001, MTC CVE-2026-22875, MTC-31002)
