クラウド版 Movable Type 9.1.0 のリリースノートです。このリリースには、機能改善、不具合修正等が含まれています。また、このバージョンでは複数のセキュリティ上の問題の解決や改善が含まれています。

新機能・改善された機能

• コンテンツフィールドの定義方法を改善し、Svelte コンポーネントへの依存を減らして実装を簡素化できるようにしました （MTC-30601）
• MTApp:Script および MTApp:Stylesheet タグにおいて、version モディファイアでバージョン番号を指定できるようにしました（MTC-30989）

MTRichTextEditor プラグイン

• MTRichTextEditor プラグインにおいて、テキストを選択した状態で URL をペーストした際、そのテキストへのリンクとして設定されるように動作を変更しました （MTC-30818）
• MTRichTextEditor プラグインに beforeGetContent、getContent、setContent イベントを追加し、拡張性を向上させました （MTC-30889）
• MTRichTextEditor プラグインにおいて、ruby、rt、rp 要素を利用可能にしました （MTC-30966）
• a 要素が他のインライン要素よりも優先して処理されるように変更しました （MTC-31124）

クラウド版の独自機能

• クラウドサービス＞セキュリティに、Webアプリケーションファイアウォール（WAF）の設定機能を追加しました （CLOUD-495 / MTC-30361）
• クラウドサービス＞ディスクの使用量のディスク使用量の単位表記を「MB」から「MiB」に変更しました （SUPPORT-723）
• ウイルス検知オプションご利用のお客様のシステムを更新しました （CLOUD-537）
• ウイルス検知オプションご利用のお客様向けにリアルタイムスキャンのログを FTP 経由で取得できるようにしました （CLOUD-524）
• Apache httpd のバージョンを 2.4.65 から 2.4.66 に更新しました （CLOUD-538）
• Nginxのバージョンを 1.28.0 から 1.28.1 に更新しました (CLOUD-541)

修正された問題

• テーマ一覧の画面において、ウィンドウ幅に関係なくサムネイルサイズが固定されるよう修正しました。 （MTC-30443）
• Data API v2/v4 の search エンドポイントおよび stats エンドポイントに関する OpenAPI ドキュメントと定義の不備を修正しました （MTC-30741）
• ロールの編集画面において、継承元の権限チェックが正しく自動解除されない問題を修正しました （MTC-30843）
• ソースコード内の UserThemesDirectory の誤字を修正しました （MTC-30856）
• テンプレート編集画面で「ファイルへのリンク」を指定した際、環境変数 UserTemplatePath で指定されたディレクトリへの書き込みが正しく行われない問題を修正しました （MTC-30868）
• テンプレートの管理画面において、クイックフィルタから種類を絞り込んだ際に「ダッシュボードウィジェット」が非表示にならない問題を修正しました （MTC-30894）
• ダッシュボードウィジェットの新規作成画面のタイトルを「ダッシュボードウィジェットの作成」に修正しました （MTC-30895）
• コンテンツデータの一覧画面において、フィルタ適用時にアクションを実行すると、フィルタ対象外のデータにも適用される問題を修正しました （MTC-30896）
• コンテンツタイプアーカイブテンプレートおよびコンテンツタイプリストアーカイブテンプレートを含む子サイトを複製した際、複製元のコンテンツタイプを参照される問題を修正しました （MTC-30902）
• TinyMCE 6 において、XHR の URL に不要な HTML エスケープが適用されている問題を修正しました （MTC-30907）
• 「記事の公開」権限を持つユーザーに対して、コンテンツデータの編集画面で公開ステータスの変更 UI が誤って表示される問題を修正しました （MTC-30908）
• 「コンテンツデータの公開」権限を持つユーザーにおいて、コンテンツデータ一覧画面に「公開の取り消し」アクションが表示されない問題を修正しました （MTC-30909）
• 「コンテンツデータの公開」権限を持つユーザーが、コンテンツデータの新規作成時にステータスを変更できない問題を修正しました （MTC-30911）
• アップグレード処理における未使用の変数を削除しました （MTC-30913）
• 環境変数 AdminThemeId を なし（空）に設定している場合、[システム] > [ライセンス確認] 画面でエラーが発生する問題を修正しました （MTC-30958）
• テキストエディタを拡張するテンプレート内で変数 mt_version_id がプラグインのバージョンで上書きされる問題を修正しました （MTC-30961）
• 削除済みのプラグイン FormattedTextForTinyMCE に関連する未使用の静的ファイルを削除しました （MTC-30969）
• 環境変数 GrantRoleSitesView を tree に設定した際の互換性の問題を修正しました （MTC-30971）
• MT::Util::to_json および MT::Util::from_json において、JSON モジュールの allow_nonref のデフォルト値を 1 に変更しました （MTC-30979）
• ロールの編集画面において、特定の条件下で HTML タグの閉じ位置が不正になる問題を修正しました （MTC-30980）
• 管理画面テーマ admin2025 において、管理画面検索の権限がないユーザーでサインインした際に JavaScript エラーが発生する問題を修正しました （MTC-30987）
• テンプレートの再構築処理において、再帰呼び出しの深度を削減し、Deep Recursion エラーの発生を緩和しました （MTC-30991）
• MT9 のアップグレード時、ブール型のカラムに非整数値が含まれている場合、0 として扱うように修正しました （MTC-30994）

MTBlockEditor プラグイン

• PHP 8.4 環境でのダイナミックパブリッシングにおいて、MTBlockEditorBlocks タグ利用時に xml_set_object に関連する警告が表示される問題を修正しました （MTC-30841）
• MTBlockEditor プラグインにおいて、oEmbed を利用した際に一部のサービス（YouTube, TikTok）でプレビューが表示されない問題を修正しました （MTC-30992）
• コンテンツタイプ編集画面において、MTBlockEditor で利用する script 要素が HTML の構造上正しくない位置に挿入されている問題を修正しました （MTC-31053）
• AssetUploaderを利用している場合に画像ブロックで配置の設定が反映されない問題を修正しました （MTC-31069）

MTRichTextEditor プラグイン

• Safari で IME を有効にした状態で太字（Bold）の適用が解除できない問題を修正しました （MTC-30862）
• URL を「テキストとして貼り付け」として実行すると、リンクが挿入される問題を修正しました （MTC-30876）
• クイックアクションにおいて、キーボード操作での挿入が正しく行われない場合がある問題を修正しました （MTC-30890）
• oEmbed を利用した際に一部のサービス（YouTube, TikTok）でプレビューが表示されない問題を修正しました （MTC-30983）
• JSON::XS のバージョンが 4.00 より低い環境でエディタが表示されない問題を修正しました (MTC-30976)
• Markdown のショートカットでリストを挿入すると li 要素の中に p 要素が追加される問題を修正しました （MTC-31061）
• 箇条書きをキーボード操作で解除できない問題を修正しました （MTC-31062）
• oEmbedなどの埋め込みオブジェクトを削除できない問題を修正しました（MTC-31063）
• Google Chrome で IME 利用時に入力開始直後の1文字目が変換対象とならずに確定されてしまう問題を修正しました （MTC-31068）
• Safari で IME 利用時にリストアイテムやテーブルセルへの入力が正常に行えない問題を修正しました （MTC-31070）

AssetUploader プラグイン

• 画像のカスタムフィールドにおいて、AssetUploader プラグイン を経由して画像を挿入した際、適切なサイズにリサイズされずに表示される問題を修正しました（MTC-30973）

ダイナミックパブリッシング

• MTContents タグ内で MTContentField タグが正常に動作しない問題を修正しました （MTC-30888）

クラウド版の独自機能

• クラウドサービス > MT 環境変数で設定可能な環境変数からAmazonS3Host および CloudflareR2Host を削除しました （MTC-30829）

セキュリティ上の修正、改善

• CSV ファイルのエクスポート機能において、数式インジェクション対策を行いました。セルが特定の文字で始まる場合にエスケープ処理を行う環境変数 CSVExportEscapeFormula と、BOM の有無を制御する環境変数 CSVExportWithBOM を追加しました （CVE-2026-24447, MTC-30835）
• コメント編集画面およびテーマの一覧画面において、クロスサイトスクリプティング（XSS）が発生する問題を修正しました （CVE-2026-21393, MTC-31001）
• サイトのエクスポート機能において、クロスサイトスクリプティング（XSS）が発生する問題を修正しました （MTC CVE-2026-22875, MTC-31002）
• 記事の編集画面において、クロスサイトスクリプティング（XSS）が発生する問題を修正しました （CVE-2026-23704, MTC-31104）

廃止された機能

• MT::Util::is_valid_url ユーティリティ関数を廃止予定のため非推奨となりました。9.1.0以降ではURLが有効であることを検証する場合には MT::Util::is_url の使用が推奨されます　(MTC-31079)

更新されたプラグイン

• MTRichTextEditor を 1.0.3 から 1.0.4 に更新しました （MTC-31007）
• MTBlockEditor を 1.3.2 から 1.3.3 に更新しました （MTC-30999）
• AssetUploader を 1.0.2 から 1.0.3 に更新しました（MTC-31051）

謝辞

リリースにあたり不具合の報告や機能要望をしていただいた皆様すべてに感謝します。
特に次の皆様には、個別に感謝します。

• 脆弱性情報のハンドリングにご協力いただいた JPCERT/CC, IPA に感謝します
• GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 (CVE-2026-21393, MTC-31001, MTC CVE-2026-22875, MTC-31002)
• エムロジック株式会社 田島 誠 氏 (MTC-30843/FEEDBACK-2628)(MTC-30908, MTC-30909/FEEDBACK-2637)
• 荒木 勇次郎 氏 (MTC-30896/FEEDBACK-2636)
• riatw 氏 (MTC-30961/FEEDBACK-2642)
• 浜垣 誠司 氏 (MTC-30966/FEEDBACK-2641)