Movable Type 8.4.2 リリースノート
これまでに発見または、報告された多くの問題を解消しています。また、このバージョンでは複数のセキュリティ上の問題の解決や改善が含まれています。
新機能・改善された機能
- Smarty を 4.5.3 から 4.5.5.にアップデートしました (MTC-29974)
- MTブロックエディタを 1.2.5 に更新しました
- MFA(多要素認証)プラグインを 1.0.5 に更新しました
- MySQL の caching_sha2_password 認証に対応しました (MTC-29715)
- MT::Permission の処理を見直し、管理画面のレスポンスを改善しました (MTC-29836)
修正された問題
- TinyMCE6で複数行のテキストをペーストした際に改行がbr要素に変換されない問題を修正しました (MTC-30072)
- パッケージに不必要なファイルが含まれていたので削除しました (MTC-30173)
- サムネイルの幅を指定しているときに旧ブロックエディタで画像挿入するとエラーになる問題を修正しました (MTC-29967)
- コンテンツタイプユーザー別のアーカイブが全件再構築されないことがある問題を修正しました (MTC-29907)
Chrome ブラウザで非推奨になった
window.unloadイベントを使用しないように修正しました (MTC-29851)共通一覧画面のlistReadyイベントについて、Svelteでの呼び出しタイミングを修正しました (MTC-29915)
- テーブルコンテンツフィールドで、行追加/行削除の後にブラウザの戻るボタンを押下しても、確認ダイアログが表示されない問題を修正しました (MTC-29965)
- Svelte 実装のユーザー一覧画面で、フィルターアイテム「ユーザー名」において、マイナスボタンを押してもフィルター項目を削除できない問題を修正しました (MTC-29928)
- Svelteの共通一覧画面で作成したフィルターをfilter_keyで適用すると、入力フィールドにパラメータが設定されない問題を修正しました (MTC-29925)
- コンテンツタイプ編集画面のテーブルコンテンツフィールドにある行と列の追加と削除の設定が逆になっている問題を修正しました (MTC-29839)
- mt-search.cgi に大量のリクエストパラメータが送信された場合、処理が完了しない問題を修正しました (MTC-29943)
- Data API のパラメータの処理方法を見直してパフォーマンスへの影響が発生しないようにしました (MTC-29962)
- コメントのパラメータの処理方法を見直してパフォーマンスへの影響が発生しないようにしました (MTC-29955)
- mt-search.cgi の検索パラメータの処理方法を見直して、特定のパラメータの処理時間を改善しました(MTC-29961)
- 検索スクリプトのパラメータの処理方法を見直してパフォーマンスへの影響が発生しないようにしました (MTC-29953)
JavaScript ライブラリ関連
- a-table.jsのバージョンを1.5.9から1.5.10にアップデートしました (MTC-29854)
セキュリティ上の修正、改善
- TinyMCE6プラグインに含まれる TinyMCE6 を 6.8.4 から 6.8.5 にアップデートしました (MTC-29922)
- MTブロックエディタに、TinyMCE 6 プラグインを利用しているときにオブジェクト埋め込みによるクロスサイトスクリプティング脆弱性が存在したので修正しました (CVE-2025-24841, MTC-29997)
- MTブロックエディタのカスタムブロックの編集画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正しました (CVE-2025-22888, MTC-29937)
- ユーザー情報の編集画面のクロスサイトスクリプティングの修正を行いました (CVE-2025-25054, MTC-30057)
謝辞
リリースにあたり不具合の報告や機能要望をしていただいた皆様すべてに感謝します。
特に次の皆様には、個別に感謝します。
- 小岩井乳業株式会社 イ ボムソク 氏 (MTC-30057)
- 脆弱性情報のハンドリングにご協力いただいた JPCERT/CC, IPA に感謝します
