Movable Type 9.0.6 リリースノート
これまでに発見または、報告された問題を解消しています。また、このバージョンでは複数のセキュリティ上の問題の解決や改善が含まれています。
新機能・改善された機能
MTApp:ScriptおよびMTApp:Stylesheetタグにおいて、version モディファイアでバージョン番号を指定できるようにしました(MTC-30989)
MTRichTextEditor プラグイン
- テキストを選択した状態で URL をペーストした際に、そのテキストへのリンクとして設定されるように変更しました (MTC-30818)
- beforeGetContent、getContent、setContent イベントを追加し、拡張性が向上しました (MTC-30889)
- ruby、rt、rp 要素を利用可能にしました (MTC-30966)
- a 要素が他のインライン要素よりも優先して処理されるように変更しました (MTC-31124)
修正された問題
- ロールの編集画面において、継承元の権限チェックが正しく自動解除されない問題を修正しました (MTC-30843)
- テンプレート編集画面で「ファイルへのリンク」を指定した際、環境変数
UserTemplatePathで指定されたディレクトリへの書き込みが正しく行われない問題を修正しました (MTC-30868) - テンプレートの管理画面において、クイックフィルタから種類を絞り込んだ際に「ダッシュボードウィジェット」が非表示にならない問題を修正しました (MTC-30894)
- ダッシュボードウィジェットの新規作成画面のタイトルを「ダッシュボードウィジェットの作成」に修正しました (MTC-30895)
- コンテンツデータの一覧画面において、フィルタ適用時にアクションを実行すると、フィルタ対象外のデータにも適用される問題を修正しました (MTC-30896)
- コンテンツタイプアーカイブテンプレートおよびコンテンツタイプリストアーカイブテンプレートを含む子サイトを複製した際、複製元のコンテンツタイプが参照される問題を修正しました (MTC-30902)
- TinyMCE 6 において、XHR の URL に不要な HTML エスケープが適用されている問題を修正しました (MTC-30907)
「記事の公開」権限を持つユーザーに対して、コンテンツデータの編集画面で公開ステータスの変更 UI が誤って表示される問題を修正しました (MTC-30908)
「コンテンツデータの公開」権限を持つユーザーにおいて、コンテンツデータ一覧画面に「公開の取り消し」アクションが表示されない問題を修正しました (MTC-30909)
- 「コンテンツデータの公開」権限を持つユーザーが、コンテンツデータの新規作成時にステータスを変更できない問題を修正しました (MTC-30911)
- 環境変数
AdminThemeIdを なし(空)に設定している場合、[システム] > [ライセンス確認] 画面でエラーが発生する問題を修正しました (MTC-30958) - テキストエディタを拡張するテンプレート内で変数
mt_version_idがプラグインのバージョンで上書きされる問題を修正しました (MTC-30961) - 環境変数
GrantRoleSitesViewを tree に設定した際の互換性の問題を修正しました (MTC-30971) MT::Util::to_jsonおよびMT::Util::from_jsonにおいて、JSONモジュールのallow_nonrefのデフォルト値を 1 に変更しました (MTC-30979)- ロールの編集画面において、特定の条件下で HTML タグの閉じ位置が不正になる問題を修正しました (MTC-30980)
- 管理画面テーマ admin2025 において、管理画面検索の権限がないユーザーでサインインした際に JavaScript エラーが発生する問題を修正しました (MTC-30987)
MTBlockEditor プラグイン
- PHP 8.4 環境でのダイナミックパブリッシングにおいて、
MTBlockEditorBlocksタグ利用時にxml_set_objectに関連する警告が表示される問題を修正しました (MTC-30841) - oEmbed を利用した際に一部のサービス(YouTube, TikTok)でプレビューが表示されない問題を修正しました (MTC-30992)
- コンテンツタイプ編集画面において、MTBlockEditor で利用する script 要素が HTML の構造上正しくない位置に挿入されている問題を修正しました (MTC-31053)
- AssetUploaderを利用している場合に画像ブロックで配置の設定が反映されない問題を修正しました (MTC-31069)
MTRichTextEditor プラグイン
- Safari で IME を有効にした状態で太字(Bold)を解除しても、入力文字に太字が適用されたままになる問題を修正しました (MTC-30862)
- URL を「テキストとして貼り付け」を選択してもリンクとして挿入される問題を修正しました (MTC-30876)
- クイックアクションにおいて、キーボード操作での挿入が正しく行われない場合がある問題を修正しました (MTC-30890)
- oEmbed を利用した際に一部のサービス(YouTube, TikTok)でプレビューが表示されない問題を修正しました (MTC-30983)
- JSON::XSのバージョンが4.00より低い環境でエディタが表示されない問題を修正しました (MTC-30976)
- Markdown のショートカットでリストを挿入すると li 要素の中に p 要素が追加される問題を修正しました (MTC-31061)
- 箇条書きをキーボード操作で解除できない問題を修正しました (MTC-31062)
- oEmbedなどの埋め込みオブジェクトを削除できない問題を修正しました(MTC-31063)
- Google Chrome で IME 利用時に入力開始直後の1文字目が変換対象とならずに確定されてしまう問題を修正しました (MTC-31068)
- Safari で IME 利用時にリストアイテムやテーブルセルへの入力が正常に行えない問題を修正しました (MTC-31070)
AssetUploader プラグイン
- 画像のカスタムフィールドにおいて、AssetUploader を経由して画像を挿入した際、適切なサイズにリサイズされずに表示される問題を修正しました(MTC-30973)
ダイナミックパブリッシング
MTContentsタグ内でMTContentFieldが正常に動作しない問題を修正しました (MTC-30888)
セキュリティ上の修正、改善
- CSV ファイルのエクスポート機能において、数式インジェクション対策を行いました。セルが特定の文字で始まる場合にエスケープ処理を行う環境変数
CSVExportEscapeFormulaと、BOM の有無を制御する環境変数CSVExportWithBOMを追加しました (CVE-2026-24447, MTC-30835) - コメント編集画面およびテーマの一覧画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正しました (CVE-2026-21393, MTC-31001)
- サイトのエクスポート機能において、クロスサイトスクリプティング(XSS)が発生する問題を修正しました (MTC CVE-2026-22875, MTC-31002)
- 記事の編集画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正しました (CVE-2026-23704, MTC-31104)
廃止された機能
- クラウド版(AMI版)において、ヨーロッパ言語の翻訳ファイルを廃止しました(MTC-30669)
更新されたプラグイン
- MTRichTextEditor を 1.0.3 から 1.0.4 に更新しました (MTC-31007)
- MTBlockEditor を 1.3.2 から 1.3.3 に更新しました (MTC-30999)
- AssetUploader を 1.0.2 から 1.0.3 に更新しました(MTC-31051)
謝辞
リリースにあたり不具合の報告や機能要望をしていただいた皆様すべてに感謝します。
特に次の皆様には、個別に感謝します。
- 脆弱性情報のハンドリングにご協力いただいた JPCERT/CC, IPA に感謝します
- GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 (CVE-2026-21393, MTC-31001, MTC CVE-2026-22875, MTC-31002)
- エムロジック株式会社 田島 誠 氏 (MTC-30843/FEEDBACK-2628)(MTC-30908, MTC-30909/FEEDBACK-2637)
- 荒木 勇次郎 氏 (MTC-30896/FEEDBACK-2636)
- riatw 氏 (MTC-30961/FEEDBACK-2642)
- 浜垣 誠司 氏 (MTC-30966/FEEDBACK-2641)
