Movable Type 8.0.6 リリースノート
これまでに発見または、報告された多くの問題を解消しています。また、このバージョンでは複数のセキュリティ上の問題の解決や改善が含まれています。
新機能・改善された機能
- MTブロックエディタを 1.2.5 に更新しました
- MFA(多要素認証)プラグインを 1.0.5 に更新しました
- TinyMCE6の編集画面で画像のドラッグ&ドロップの挙動を変更しました (MTC-29947)
修正された問題
- TinyMCE6で複数行のテキストをペーストした際に改行がbr要素に変換されない問題を修正しました (MTC-30072)
- サムネイルの幅を指定しているときに旧ブロックエディタで画像挿入するとエラーになる問題を修正しました(MTC-29967)
- コンテンツタイプユーザー別のアーカイブが全件再構築されないことがある問題を修正しました (MTC-29907)
- mt-search.cgi に大量のリクエストパラメータが送信された場合、処理が完了しない問題を修正しました (MTC-29943)
- Data API のパラメータの処理方法を見直してパフォーマンスへの影響が発生しないようにしました (MTC-29962)
- コメントのパラメータの処理方法を見直してパフォーマンスへの影響が発生しないようにしました (MTC-29955)
- mt-search.cgi の検索パラメータの処理方法を見直して、特定のパラメータの処理時間を改善しました(MTC-29961)
- 検索スクリプトのパラメータの処理方法を見直してパフォーマンスへの影響が発生しないようにしました (MTC-29953)
セキュリティ上の修正、改善
- TinyMCE6プラグインに含まれる TinyMCE6 を 6.8.4 から 6.8.5 にアップデートしました (MTC-29922)
- jQuery Validate を1.19.5から1.20.0にアップデートしました (MTC-29946)
- MTブロックエディタに、TinyMCE 6 プラグインを利用しているときにオブジェクト埋め込みによるクロスサイトスクリプティング脆弱性が存在したので修正しました (CVE-2025-24841, MTC-29997)
- MTブロックエディタのカスタムブロックの編集画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正しました (CVE-2025-22888, MTC-29937)
- ユーザー情報の編集画面のクロスサイトスクリプティングの修正を行いました (CVE-2025-25054, MTC-30057)
謝辞
リリースにあたり不具合の報告や機能要望をしていただいた皆様すべてに感謝します。
特に次の皆様には、個別に感謝します。
- 小岩井乳業株式会社 イ ボムソク 氏 (MTC-30057)
- 脆弱性情報のハンドリングにご協力いただいた JPCERT/CC, IPA に感謝します
