これまでに発見または、報告された多くの問題を解消しています。

セキュリティ上の修正、改善

• [MTC-28496] XMLRPC API を経由した不正なリクエストにより、組み込みコマンドやシェルコマンドの限定的な実行が可能な問題を修正しました(CVE-2022-38078)

新機能・改善された機能

• [MTC-28492] jQuery Validation Plugin を v1.9.4 に更新しました

• [MTC-28474] PSGI サーバ経由で mt-static やサポートディレクトリ、 favicon などの出力を制御する環境変数 PSGIServeStatic を追加しました

• [MTC-28431] jQuery Migrate を v3.4.0 に更新しました

• [MTC-28191] 環境変数 MailModule に外部モジュールを指定している場合、添付ファイルが追加できるようになりました

• [MTC-27653] GoogleAnalyticsプラグインでV4のプロファイルが取得できるようになりました

• [MTC-27760] "ALL" の日本語表記をすべて「すべて」にしました

• [MTC-27384] [ダッシュボード]-[システム]-[サイトの管理] 画面にクイックフィルタ「親サイトだけを表示」「子サイトだけを表示」を追加しました

• [MTC-27329] タグ一覧画面の表示オプションに ID を追加しました

• [MTC-26998] コンテンツデータの一覧画面に記事の一覧画面と同じようにデータの総数を表示するようにしました

• [MTC-26383] グローバルテンプレートの更新履歴を保存できるようにしました。環境変数 GlobalTemplateMaxRevisions に保存する履歴の件数を指定すると更新履歴を保存します

• [MTC-25880] サイトの一覧画面の親サイトと子サイトに「サイト」「子サイト」のラベルを表示するようにしました

• [MTC-9456] メール送信が成功したときにもシステムログに記録する環境変数 MailLogAlways を追加しました。メール送信時のログに送信先や件名を記録するようにしました

• [SUPPORT-70] 記事、ページ、コンテンツデータの一覧画面の表示オプションに「更新者」を追加しました。また「最終更新者」を扱う以下の テンプレートタグを追加しました

  • MTContentModifiedAuthorDisplayName
  • MTContentModifiedAuthorEmail
  • MTContentModifiedAuthorID
  • MTContentModifiedAuthorLink
  • MTContentModifiedAuthorURL
  • MTContentModifiedAuthorUsername
  • MTContentModifiedAuthorUserpic
  • MTContentModifiedAuthorUserpicAsset
  • MTContentModifiedAuthorUserpicURL
  • MTEntryModifiedAuthorDisplayName
  • MTEntryModifiedAuthorEmail
  • MTEntryModifiedAuthorID
  • MTEntryModifiedAuthorLink
  • MTEntryModifiedAuthorURL
  • MTEntryModifiedAuthorUsername
  • MTEntryModifiedAuthorUserpic
  • MTEntryModifiedAuthorUserpicAsset
  • MTEntryModifiedAuthorUserpicURL
  • MTPageModifiedAuthorDisplayName
  • MTPageModifiedAuthorEmail
  • MTPageModifiedAuthorLink
  • MTPageModifiedAuthorURL

• [MTC-28441] extlib にバンドルしているモジュールを更新しました

  • 更新分
    • Algorithm::Diff 1.201
    • CGI 4.54
    • Cache::Memory 2.11
    • Class::Data::Inheritable 0.09
    • Class::Inspector 1.36
    • Class::Method::Modifiers 2.13
    • Class::Trigger 0.15
    • Clone::PP 1.08
    • Digest 1.20
    • File::Copy::Recursive 0.45
    • File::Listing 6.15
    • HTTP::Cookies 6.10
    • HTTP::Daemon 6.14
    • HTTP::Date 6.05
    • HTTP::Message 6.36
    • Heap::Fibonacci 0.80
    • Image::ExifTool 12.30
    • JSON 4.07
    • JSON::PP 4.10
    • LWP 6.62
    • LWP::MediaTypes 6.04
    • LWP::Protocol::https 6.10
    • Locale::Maketext 1.31
    • Math::BigInt 1.999830
    • Net::FTPSSL 0.42
    • Net::HTTP 6.22
    • SOAP::Lite 1.27
    • TheSchwartz 1.17
    • Try::Tiny 0.31
    • UNIVERSAL::require 0.19
    • URI 5.10
    • XML::Atom 0.43
    • XML::Parser::Lite 0.722
    • XML::SAX 1.02
    • XML::Simple 2.25
    • XML::XPath 1.44
    • YAML::Tiny 1.73
    • parent 0.238
  • 新規追加分
    • IO::HTML 1.004
    • Time::Local 1.30
  • クラウド版 更新分
    • Net::FTP 3.13
    • Crypt::Perl 0.37
    • Convert::ASN1 0.33

クラウド版

• [CLOUD-184] OpenSSL を 1.1.1q に更新しました

• [CLOUD-186] Perl モジュールの Mozilla::CA をバージョン 20211001 に更新しました

修正された問題

• [MTC-28508] サイトのインポートで表示されるエラーメッセージを修正しました

• [MTC-28502] 「日付と時刻」を扱うフィールドに不適切な日時を入れて保存しても警告が発生しないように修正しました

• [MTC-28494] PHP8.0 でダイナミックパブリッシングを利用しているとき、MTUtil.php の datetime_to_timestamp と days_in に想定外の引数が渡ったときに Fatal Error が発生する問題を修正しました

• [MTC-28489] r.5201 の「[CLOUD-114] Movable Type が生成する img タグに loading=lazy と decoding=async を追加するようにしました」が公開サイトに影響したため、管理画面のみに適用されるようにしました

• [MTC-28488] 管理画面上のチェックボックスとラベルの間隔を調整しました

• [MTC-28484] 環境変数 PSGIStreaming が 1 である場合に、サイドメニューからサイトを選択しようとすると 502 エラーが発生する問題を修正しました

• [MTC-28481] [設定]-[投稿]画面の「Word特有の文字を置き換える」の対象のフィールドで「キーワード」にチェックを入れることができない問題を修正しました

• [MTC-28473] PSGI 利用時、XMLRPC API が使われていない場合にはXMLRPC::Transport::HTTP::Plack を読み込まないようにしました

• [MTC-28472] mt-check.cgi で OS の環境変数 MT_CONFIG を MT_HOME と結合せずに、単独で扱うよう修正しました

• [MTC-28457] インストールウィザードを利用した場合に、Graphics::Magick がインストールされた環境では、ImageDriver に GraphicsMagick が指定されるようになりました

• [MTC-28445] 記事一覧画面などで、公開／非公開のSVGアイコンのツールチップの翻訳漏れを修正しました

• [MTC-28400] README やインストールウィザード、mt-check.cgi のモジュール情報を更新しました

• [MTC-28372] MT4、MT5 からアップグレードしたとき「Data API の利用を許可する。」のチェックボックスがシステム、サイトともにチェックされた状態になる問題を修正しました

• [MTC-28062] L10N のパラメータ不具合を修正しました

• [MTC-26993] テーマに含まれるコンテンツタイプの「テキスト（複数行）」フィールドでリッチテキストの装飾ボタンを利用できるようにしました

• [MTC-26310] 記事やアセットの一覧画面で、保存前のフィルタの名称を「新しいフィルタ」に統一しました

• [MTC-25409] 時刻のコンテンツフィールドの初期値に数値以外の文字を設定できてしまう問題を修正しました

• [MTC-25052] 同一のパスで公開された異なる記事があるとき、Data API の stats で取得するデータが正しくない場合がある問題を修正しました

• [MTC-2609] 管理画面上の tabindex を整理しました。タブキーでのカーソルの移動がより自然に行えるようになりました

• [SUPPORT-164] 記事編集画面で、「フォーマット」に「リッチテキスト」以外を選択している場合、定型文が挿入されない問題を修正しました

• [SUPPORT-156] テンプレートタグ MTCanonicalURL 及び MTCanonicalLink がプレビュー画面で動作しない問題を修正しました

• [SUPPORT-29] テンプレートタグ MTCategorySets に id または name 属性が指定されていると content_type 属性を無視する問題を修正しました

• 【2022/9/21 追記】 [MTC-28363] MT::Filter::load_objects の中で @objs に undef が紛れ込まないようにしました

クラウド版

• [CLOUD-176] AutosaveSessionTimeout を更新可能な環境変数に追加しました

サーバー配信

• [CLOUD-175] 配信設定で、他のサイトで同一の配信先に配信済であったときにはそのように表示するようにしました

• [SUPPORT-148] 「すべてのファイルを配信する」の設定情報をログに記録し配信履歴に追加しました

【2022/8/31 追記】

AMI版

• 指定日投稿などに利用している run-periodic-tasks が動作しない問題を修正しました（/etc/cron.d/movabletype のパーミッションの設定を修正）
• /etc/logrotate.d/movabletype のパーミッションの設定を修正し、logrotate が正常に行われない問題を修正しました
• Amazon Linux 2 / Apache 版で、PHP 7 をバージョンアップしたときに PHP が正常に動作しなくなることがある問題を修正しました

謝辞

リリースにあたり不具合の報告や機能要望をしていただいた皆様すべてに感謝します。また特に次の皆様には、個別に感謝します。

• [MTC-28496] 大阪経済大学

• [MTC-28496] 株式会社ブロードバンドセキュリティ 志賀 拓馬 氏

• [MTC-28484] 株式会社エクストーン

• [MTC-28484] ミシマ・オーエー・システム株式会社

• 脆弱性情報のハンドリングにご協力いただいた IPA、JPCERT/CC に感謝します。

チェックサム確認用ファイル

• MT7-R5301.zip SHA1,SHA256
• MTA7-R5301.zip SHA1,SHA256