Movable Type 8.4.4 リリースノート
これまでに発見または、報告された多くの問題を解消しています。また、このバージョンでは複数のセキュリティ上の問題の解決や改善が含まれています。
修正された問題
- 環境変数
UseRiotが 0 に設定されているとき、Svelte 版のサイト一覧画面において、「作成日」などの日付フィルタを複数追加すると表示が崩れる問題を修正しました(MTC-30403) - 環境変数
TrustedHostsでサブドメインワイルドカードを指定した際、IPアドレスに対してもマッチしてしまう問題を修正しました(MTC-30564) - パスワードを変更したとき、サインイン中の他のログインセッションをすべて無効にするようにしました。また、ログにパスワードを変更した旨を記録するようにしました。管理者によってパスワードが変更されたときには、ユーザーは再ログインが必要になります (MTC-30687)
セキュリティ上の修正、改善
- コンテンツデータの編集画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正しました(CVE-2025-54856, MTC-30710)
- カテゴリセットの編集画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正しました(CVE-2025-62499, MTC-30711)
謝辞
リリースにあたり不具合の報告や機能要望をしていただいた皆様すべてに感謝します。
特に次の皆様には、個別に感謝します。
- 脆弱性情報のハンドリングにご協力いただいた JPCERT/CC, IPA に感謝します
