クラウド版 Movable Type 9.2.0 のリリースノートです。このリリースには、機能改善、不具合修正等が含まれています。また、このバージョンでは複数のセキュリティ上の問題の解決や改善が含まれています。

新機能・改善された機能

• メール送信における SMTP 認証として OAuth 2.0 (Gmail, Outlook) に対応しました (SUPPORT-37)
• システム情報画面に Movable Type のスキーマバージョンを表示するように改善しました (SUPPORT-654)
• アップグレード時などに表示される不足している必須の Perl モジュールに関するメッセージを改善しました (SUPPORT-724)
• システムログの一括削除機能に期間指定を追加し、指定した日時より前のログを削除できるようにしました (SUPPORT-756)
• 環境変数 DisableRegexpSearch を追加しました。1 を設定することで、管理画面での検索・置換時に正規表現オプションを無効化できます。これにより、データ件数が多い場合に検索に時間がかかる問題を回避できる場合があります (MTC-29012)
• データベースアクセスなどで発生する表示を改善しました (MTC-30826)
• SQL Server におけるクエリ生成処理の最適化を行いました (MTC-30965)
• テンプレート一覧画面における「公開」ボタンの名称を「再構築」に変更しました (MTC-31055)
• 将来のバージョンで環境変数 SafeMode を廃止します。クラウド版では設定できません (MTC-31092)
• ファイル名が日本語などの半角英数字以外のファイルのアップロードを禁止する環境変数 AllowNonAsciiFilename を追加しました (MTC-31102)
• 画像ファイルのアップロード時に「画像の向きを自動的に修正する」機能を利用した際、不要な Exif Orientation タグの情報を削除するように変更しました (MTC-31119)
• 環境変数 SearchEscapeUnderscore を追加し、サイト内検索（mt-search.cgi）時に _ (アンダースコア)をワイルドカードではなく文字として検索できるように改善しました (MTC-31155)
• カスタムフィールドの種類が「URL」である場合の既定値の初期値を http:// から https:// に変更しました (MTC-31191 / FEEDBACK-2655)
• GoogleAnalyticsV4 プラグインのクライアントシークレット入力欄をパスワードフィールドに変更しました (MTC-31207)
• 同梱している extlib の CPAN モジュール を更新しました (MTC-31138, MTC-31175)
  
  • CGI (4.69 → 4.71)
  • Data::ObjectDriver (0.25 → 0.27)
  • File::Temp (0.2311 → 0.2312)
  • Image::ExifTool (13.30 → 13.44)
  • LWP::Protocol::http (6.78 → 6.81)
  • LWP::UserAgent (6.78 → 6.81)
  • MIME::Lite (3.033 → 3.035)
  • MIME::Types (2.28 → 2.30)
  • Net::HTTPS (6.23 → 6.24)
  • URI (5.32 → 5.34)
  • この更新に伴い、画像のメタデータ処理に利用している MT::Image::ExifData を最新版に更新しました (MTC-31075)

MTRichTextEditor

• HTMLのスニペット（動画サービスの埋め込みプレイヤーのiframeなど）を編集領域にペーストした場合に、エスケープされたテキストではなくHTMLタグとして挿入されるようになりました(MTC-30817)
• svg 要素をサポートしました (MTC-31120)
• 利用している Tiptap のバージョンを 3.20.1 に更新しました(MTC-31054)

ダイナミックパブリッシング

• 同梱している ADOdb を 5.22.7 から 5.22.11 に更新しました (MTC-30718)
• CommonMark プラグインに同梱している league/commonmark を 2.7.0 から 2.8.1 に更新しました (MTC-31218)

JavaScript ライブラリ関連

• jQuery 4.0.0 を同梱しました。環境変数 UsejQuery4 を 1 にすることで jQuery バージョン 4 系列を利用することができます。あわせてSharedPreview プラグインを jQuery 4.0.0 系列でも動作するようにしました (MTC-31132 / MTC-31152)
• jQuery Validation を 1.20.0 から 1.22.1 に更新しました (MTC-31150)
• jQuery UI を 1.14.1 から 1.14.2 に更新しました (MTC-31151)
• 管理画面のタッチ操作に使用している jquery.ui.touch-punch.js を jQuery 3系列への対応などが追加されたバージョンに更新しました (MTC-31169)
• 管理画面のアクセス解析やクラウド版のディスク容量表示で利用しているグラフ描画ライブラリを Chart.js に変更しました (MTC-28555)

クラウド版の独自機能

• クラウド版において、ディスク使用量が 95% に達した際にダッシュボードへ警告通知を表示する機能を追加しました (MTC-31148)
• Apache httpd のバージョンを 2.4.66 から 2.4.67 に更新しました (CLOUD-552)
• Nginxのバージョンを 1.28.1 から 1.30.1 に更新しました (CLOUD-550)

修正された問題

• 検索文字列に " 、 ! 、- 、 + の記号を一つだけ入力して検索した際に、 Invalid Query が発生する問題を修正しました (MTC-7525)
• アーカイブのプレビュー時に、サイト全般設定の拡張子が優先され、アーカイブパス設定の拡張子が適用されない問題を修正しました (MTC-26494)
• グローバルテンプレートでウィジェットセットを作成した際、システムテンプレートの一覧に意図せず include/template_table.tmpl が表示される問題を修正しました (MTC-30418)
• WXRImporter プラグインを利用してインポートを行う際、「置き換えるパス」を変更するとエラーが発生する問題を修正しました (MTC-30628)
• コンテンツデータの編集画面において、削除やプレビュー操作時の title 属性の変数が未初期化となっていた問題を修正し、コンテンツタイプ名が正しく表示されるようにしました (MTC-30717)
• コンテンツデータが1件も存在しない場合の一覧画面において、メッセージ内のコンテンツタイプ名のアルファベットが小文字で表示されてしまう問題を修正しました (MTC-30970)
• 管理画面内の HTML 構文を修正しました (MTC-31012)
• リストアクション実行時の確認メッセージがパラメーターの設定によって正しく表示されるように修正しました (MTC-31064)
• ダイアログでの文字列検索時、検索クエリに 0 のみを指定した場合に正しく動作するように修正しました (MTC-31144)
• モバイル表示時のコンテンツデータ編集画面において、削除ボタンを押した際の確認ダイアログ内でコンテンツタイプ名が小文字で表示される問題を修正しました (MTC-31171)
• mt-cdsearch.cgi による検索において、% (パーセント) がワイルドカードとして処理されることなく、文字として検索できるように修正しました (MTC-31195)
• LicenseVerification プラグインや Comments プラグインの一部で、翻訳が正しく適用されていない箇所を修正しました (MTC-31196)
• 数値型のカラムに値が入っていないかどうかの判定に空文字を使用しないように変更し、 SQL Server で型を防ぐようにしました (MTC-30955)
• MT::App::CMS::is_authorized の権限チェック処理における問題を修正しました (MTC-30959)
• MT::Revisable::Local の changed カラムに空値が設定されると Oracle Database でが発生する問題を修正しました (MTC-30960)
• MT::Util の asset_from_url メソッドがエクスポート対象に含まれていない問題を修正しました (MTC-31072)
• モーダルウィンドウ内でコンテンツデータをロードする際、 HTTP の Content-Type ヘッダーに誤った文字が含まれていた問題を修正しました (MTC-31116)
• データのインポートや検索などの処理において、破損したコンテンツフィールドが含まれている場合に発生していた未初期化変数の警告を修正し、該当データを無視するようにしました (MTC-31136)
• 共有プレビュー画面を表示した際、ブラウザーの開発者ツールに jQuery Migrate の警告が出力される問題を修正しました (MTC-30569)
• 環境変数 UseRiot を 1 に設定している場合、コンテンツタイプ編集画面の操作で 404 が発生する問題を修正しました (MTC-30625)
• コンテンツタイプごとの「コンテンツデータの作成」権限のみを持つユーザーが、自身が所有する公開済みのコンテンツデータを一覧画面から編集できるように修正しました (MTC-30910)
• 記事のインポートとエクスポートの機能で、MT形式におけるセパレータ文字列が記事データに含まれる場合でも、エクスポートしたデータを正しくインポートできるように修正しました (MTC-31058)
• サイトのインポートをするときに予期せぬ挙動を引き起こす可能性があるため、一時作業用の mt_deletefileinfo テーブルをサイトデータのエクスポート対象から除外しました (MTC-31093)
• アセットのアップロード時に「画像の向きを自動的に修正する」機能を有効にした場合、特定の Exif Orientation タグの値においてミラーリング処理が正しく行われない問題を修正しました (MTC-31118)
• BlockEditor プラグインで画像フィールドを含むコンテンツデータを検索した際、画像のデータが存在しない場合に未初期化変数の警告が発生する問題を修正しました (MTC-31134)
• コンテンツデータ検索時に、コンテンツタイプ型のコンテンツフィールドの情報が破損などで取得できない場合に未初期化変数の警告が発生する問題を修正しました (MTC-31135)
• 削除されたユーザーが作成した記事を含む一覧画面において、作成者でソートを実行した際に未初期化変数の警告が発生する問題を修正しました (MTC-31137)
• 特定環境での不具合を回避するため YAML::PP を MT::Util::YAML の自動識別対象から除外しました (MTC-31145)
• アーカイブマッピングで日付フィールドを利用しているコンテンツタイプの古いデータを削除すると、最新のコンテンツタイプアーカイブの内容が意図せず更新される問題を修正しました (MTC-31167)
• コンテンツデータの保存前コールバック cms_pre_save.content_data が偽値を返した際、適切にとして処理されず保存が続行される問題を修正しました (MTC-31172)
• 共有プレビュー用のセッションデータが保存される mt_preview テーブルをサイトのエクスポート対象外となるように変更しました (MTC-31176)
• サイトのバックアップ復元時に、対象外として指定されているテーブルのデータが含まれていた場合は復元をスキップするよう修正しました (MTC-31094)
• GoogleAnalyticsV4 プラグインのトークン取得時に state パラメーターを利用してリクエストを検証するようにしました (MTC-31208)
• テーマを上書きエクスポートすると、エクスポート画面の「常に全てのオプションをエクスポート対象にする」のチェックが意図せず外れる問題を修正しました (SUPPORT-770)

Movable Type Advanced

• SQL Server において、アーカイブの作成時に利用している EXTRACT 関数が動作するように修正しました (MTC-30954)
• SQL Server において複合インデックスを含むカラムを削除する際、先にインデックスを削除するように処理の順序を修正しました (MTC-30956)
• SQL Server における日時の変換処理を修正し、小数の精度に起因するデータベースへの保存時の問題を修正しました (MTC-30957)
• Oracle Database において、 MT::Blog::archive_type が未定義値となることで発生していた警告を修正しました (MTC-30962)

ダイナミックパブリッシング

• テンプレートタグ MTContentFieldValue がコンテンツフィールドのデータ識別ラベルを正しく参照していない問題を修正しました (MTC-31076)
• テンプレートタグ MTAssetFilePath が疑似パス (%r や %a) 指定を正しく扱えず、ファイルパスが正常に出力されない問題を修正しました (MTC-31215)

MTRichTextEditor

• ruby 要素の使用時に不要なスペースが入って表示される問題を修正しました (MTC-31168)
• oEmbed のオブジェクトの前に挿入された p 要素を削除できるように修正しました (MTC-31101)
• 記事の編集画面で画像にリンクを設定しようとすると画像が削除される問題を修正しました (MTC-31113)
• コンテキストツールバーがモーダルウィンドウよりも上に表示される問題を修正しました (MTC-31125)
• 空の div 要素がキーボード操作で削除しづらい挙動を修正しました (MTC-31224)
• 空の div 要素を保存すると、div 要素中に p 要素が追加される挙動を修正しました (MTC-31223)
• div 要素内の直下にある a 要素が p 要素に囲まれる挙動を修正しました (MTC-31222)
• 改行などを含むテキストを貼り付けたときの HTML 構造を修正しました (MTC-31173)
• td 要素と th 要素に含まれるテキストを編集する際に意図しない p 要素が挿入されてしまう問題を修正しました (MTC-31291)

AssetUploader

• ドラッグ操作をキャンセルしてもドロップする領域の表示が消えない問題を修正しました (MTC-30985、MTC-30977)

サーバー配信

• サーバー配信を途中で打ち切った際、再度配信が開始される問題を修正しました (MTC-31106)

セキュリティ上の修正、改善

• インストールされている Movable Type 本体やプラグインがアップグレードされているときに、適切な権限を持たないユーザーがアップグレード処理を進めることができる問題を修正しました。環境変数 RequireUpgradePermission で制御することができます (CVE-2026-44392, MTC-30699)
• 管理画面のイベントハンドラ属性内で使用する変数についてのエスケープ処理を強化しました (MTC-30998)

更新されたプラグイン

• SharedPreview プラグインのバージョンを 0.6 に更新しました (MTC-31187)
• MTRichTextEditor を 1.0.4 から 1.0.5 に更新しました （MTC-31302）
• AssetUploader を 1.0.3 から 1.0.4 に更新しました（MTC-31301）

廃止された機能

• MTInclude タグの file モディファイアを利用した際、将来の廃止に向けた警告をログに出力するように変更しました (MTC-31088)
• PHP 7.0.0 で削除された mysql 拡張モジュールに関連する、使用されなくなった ADOdb 関連のコードを削除しました (MTC-31071)
• PHP の実装において、不要になった $var_export 関連のコードを削除しました (MTC-31081)
• コンテンツデータの保存処理で利用されていないコードを削除しました (MTC-31157)
• すでに廃止されている dialog_select_assoc_type メソッドの定義を削除しました (MTC-31159)

謝辞

リリースにあたり不具合の報告や機能要望をしていただいた皆様すべてに感謝します。また、脆弱性情報のハンドリングにご協力いただいた JPCERT/CC, IPA に感謝します。
特に次の皆様には、個別に感謝します。

• 株式会社オロ fan pei 氏 (MTC-26494 / FEEDBACK-1318)
• エムロジック株式会社 田島 誠 氏 (MTC-31118, MTC-31119 / FEEDBACK-2649)
• 株式会社エヴォワークス 大越 俊輔 氏 (MTC-31113 / FEEDBACK-2647)