Movable Type News
[重要] Movable Type 9.1.0 / 9.0.6 / 8.8.2 / 8.0.9、Movable Type Premium 9.1.0 / 9.0.6 / 2.14 の提供を開始(セキュリティアップデート)
機能改善および修正を行なった Movable Type 9.1.0、9.0.6、8.8.2、8.0.9 の提供を開始しました。
あわせて Movable Type Premium 9.1.0、9.0.6、2.14(Movable Type 8.0.9 ベース / Movable Type 8.8.2 ベース)もリリースしています。
本リリースにはセキュリティに関する修正が含まれますので、必ずご確認のうえ、アップデートをお願いします。
なお、昨年EOLとなった Movable Type 7.x および 8.4.x についても脆弱性の影響を受けるため、今回リリースする最新バージョンへのアップデートを推奨します。
ニュース目次
Movable Type 8.0.9 について
Movable Type 8.0.9 ではセキュリティフィックスのみ行なっています。
リリース対象
- ソフトウェア版
- AMI版
セキュリティ上の修正、改善
- CSV ファイルのエクスポート機能において、数式インジェクション対策を実施
セルが特定の文字で始まる場合にエスケープ処理を行う環境変数 CSVExportEscapeFormula と、BOM の有無を制御する環境変数 CSVExportWithBOM を追加(CVE-2026-24447, MTC-30835) - コメント編集画面およびテーマの一覧画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正(CVE-2026-21393, MTC-31001)
- サイトのエクスポート機能において、クロスサイトスクリプティング(XSS)が発生する問題を修正(MTC CVE-2026-22875, MTC-31002)
- 記事の編集画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正(CVE-2026-23704, MTC-31104)
詳細はリリースノートをご確認ください。
Movable Type 8.8.2 について
Movable Type 8.8.2 では、機能改善と、セキュリティフィックスを含む多数の修正を行なっています。また、クラウド版に Webアプリケーションファイアウォール(WAF)の機能を追加しました。
リリース対象
- クラウド版
- ソフトウェア版
- AMI版
セキュリティ上の修正、改善
- CSV ファイルのエクスポート機能において、数式インジェクション対策を実施
セルが特定の文字で始まる場合にエスケープ処理を行う環境変数 CSVExportEscapeFormula と、BOM の有無を制御する環境変数 CSVExportWithBOM を追加(CVE-2026-24447, MTC-30835) - コメント編集画面およびテーマの一覧画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正(CVE-2026-21393, MTC-31001)
- サイトのエクスポート機能において、クロスサイトスクリプティング(XSS)が発生する問題を修正(MTC CVE-2026-22875, MTC-31002)
- 記事の編集画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正(CVE-2026-23704, MTC-31104)
主な改善・修正
- MTApp:Script および MTApp:Stylesheet タグにおいて、version モディファイアでバージョン番号を指定できるように改善
- [MTRichTextEditor] テキストを選択した状態で URL をペーストした際に、そのテキストへのリンクとして設定されるように変更
- [MTRichTextEditor] beforeGetContent、getContent、setContent イベントを追加
- [MTRichTextEditor] ruby、rt、rp 要素を利用可能に
- [MTRichTextEditor] a 要素が他のインライン要素よりも優先して処理されるように変更
- [MTクラウド] クラウドサービス>セキュリティに、Webアプリケーションファイアウォール(WAF)の設定機能を追加
- [MTクラウド] クラウドサービス>ディスクの使用量のディスク使用量の単位表記を「MB」から「MiB」に変更
- [MTクラウド] ウイルス検知オプションご利用のお客様向けにリアルタイムスキャンのログを FTP 経由で取得できるように
- [MTクラウド] Apache httpd のバージョンを 2.4.65 から 2.4.66 に更新
- [MTクラウド] Nginxのバージョンを 1.28.0 から 1.28.1 に更新
- ロールの編集画面において、継承元の権限チェックが正しく自動解除されない問題を修正
- コンテンツデータの一覧画面において、フィルタ適用時にアクションを実行すると、フィルタ対象外のデータにも適用される問題を修正
- コンテンツタイプアーカイブテンプレートおよびコンテンツタイプリストアーカイブテンプレートを含む子サイトを複製した際、複製元のコンテンツタイプが参照される問題を修正
※ Movable Type 8.8.2 は、デフォルトでは旧リッチテキストエディタ(TinyMCE プラグイン)が使用されています。MTRichTextEditor プラグインによる新しいリッチテキストエディタを使用する場合は、mt-config.cgi の修正が必要です。詳しくはマニュアルをご参照ください。
このほか、多数の修正、変更を行なっています。詳細はリリースノートをご確認ください。
Movable Type 9.0.6 について
Movable Type 9.0.6 では、機能改善とセキュリティフィックスを含む多数の修正を行なっています。
リリース対象
- ソフトウェア版
- AMI版
セキュリティ上の修正、改善
- CSV ファイルのエクスポート機能において、数式インジェクション対策を実施
セルが特定の文字で始まる場合にエスケープ処理を行う環境変数 CSVExportEscapeFormula と、BOM の有無を制御する環境変数 CSVExportWithBOM を追加(CVE-2026-24447, MTC-30835) - コメント編集画面およびテーマの一覧画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正(CVE-2026-21393, MTC-31001)
- サイトのエクスポート機能において、クロスサイトスクリプティング(XSS)が発生する問題を修正(MTC CVE-2026-22875, MTC-31002)
- 記事の編集画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正(CVE-2026-23704, MTC-31104)
主な改善・修正
- MTApp:Script および MTApp:Stylesheet タグにおいて、version モディファイアでバージョン番号を指定できるように改善
- [MTRichTextEditor] テキストを選択した状態で URL をペーストした際に、そのテキストへのリンクとして設定されるように変更
- [MTRichTextEditor] beforeGetContent、getContent、setContent イベントを追加
- [MTRichTextEditor] ruby、rt、rp 要素を利用可能に
- [MTRichTextEditor] a 要素が他のインライン要素よりも優先して処理されるように変更
- コンテンツデータの一覧画面において、フィルタ適用時にアクションを実行すると、フィルタ対象外のデータにも適用される問題を修正
- コンテンツタイプアーカイブテンプレートおよびコンテンツタイプリストアーカイブテンプレートを含む子サイトを複製した際、複製元のコンテンツタイプが参照される問題を修正
このほか、多数の修正、変更を行なっています。詳細はリリースノートをご確認ください。
Movable Type 9.1.0 について
Movable Type 9.1.0 では、機能改善と、セキュリティフィックスを含む多数の修正を行なっています。また、クラウド版に Webアプリケーションファイアウォール(WAF)の機能を追加しました。
リリース対象
- クラウド版
セキュリティ上の修正、改善
- CSV ファイルのエクスポート機能において、数式インジェクション対策を実施
セルが特定の文字で始まる場合にエスケープ処理を行う環境変数 CSVExportEscapeFormula と、BOM の有無を制御する環境変数 CSVExportWithBOM を追加(CVE-2026-24447, MTC-30835) - コメント編集画面およびテーマの一覧画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正(CVE-2026-21393, MTC-31001)
- サイトのエクスポート機能において、クロスサイトスクリプティング(XSS)が発生する問題を修正(MTC CVE-2026-22875, MTC-31002)
- 記事の編集画面において、クロスサイトスクリプティング(XSS)が発生する問題を修正(CVE-2026-23704, MTC-31104)
主な改善・修正
- MTApp:Script および MTApp:Stylesheet タグにおいて、version モディファイアでバージョン番号を指定できるように改善
- [MTRichTextEditor] テキストを選択した状態で URL をペーストした際に、そのテキストへのリンクとして設定されるように変更
- [MTRichTextEditor] beforeGetContent、getContent、setContent イベントを追加
- [MTRichTextEditor] ruby、rt、rp 要素を利用可能に
- [MTRichTextEditor] a 要素が他のインライン要素よりも優先して処理されるように変更
- [MTクラウド] クラウドサービス>セキュリティに、Webアプリケーションファイアウォール(WAF)の設定機能を追加
- [MTクラウド] クラウドサービス>ディスクの使用量のディスク使用量の単位表記を「MB」から「MiB」に変更
- [MTクラウド] ウイルス検知オプションご利用のお客様向けにリアルタイムスキャンのログを FTP 経由で取得できるように
- [MTクラウド] Apache httpd のバージョンを 2.4.65 から 2.4.66 に更新
- [MTクラウド] Nginxのバージョンを 1.28.0 から 1.28.1 に更新
- ロールの編集画面において、継承元の権限チェックが正しく自動解除されない問題を修正
- コンテンツデータの一覧画面において、フィルタ適用時にアクションを実行すると、フィルタ対象外のデータにも適用される問題を修正
- コンテンツタイプアーカイブテンプレートおよびコンテンツタイプリストアーカイブテンプレートを含む子サイトを複製した際、複製元のコンテンツタイプが参照される問題を修正
このほか、多数の機能改善・修正を行なっています。詳細はリリースノートをご確認ください。
Movable Type Premium 2.14 について
Movable Type Premium 2.14 / Movable Type Premium (Advanced Edition) 2.14 では、 Movable Type 8.0.9 / 8.8.2 のリリースノートの内容に加えて、いくつかの修正を行なっています。
リリース対象
- クラウド版(Movable Type 8.8.2 ベース)
- ソフトウェア版(Movable Type 8.0.9 ベース / Movable Type 8.8.2 ベース)
セキュリティ上の修正、改善
- CSV数式インジェクション(CWE-1236)への対策として、次のプラグインにおけるCSVファイルダウンロード時の処理を修正
EntryImExporter
AuthorImExporter
CategoryImExporter
ContentDataImExporter
CategorySetImExporter
主な修正
- [EntryImExporter] ウェブページのCSVインポートにおいて、新規IDとしてインポートした場合にカスタムフィールドの値が登録されない問題を修正
- [CategorySetImExporter] 同じカテゴリセットに含まれるカテゴリが、本来制限されるべき複数のサイトに跨って登録できてしまう問題を修正
詳細はリリースノートをご確認ください。
Movable Type Premium 9.0.6 について
Movable Type Premium 9.0.6 / Movable Type Premium (Advanced Edition) 9.0.6 は、Movable Type 9.0.6 のリリースノートの内容に加えて、SiteSyncによる同期実行前に承認フローを挟むことができる新機能を追加したほか、いくつかの修正を行なっています。
リリース対象
- ソフトウェア版
セキュリティ上の修正、改善
- CSV数式インジェクション(CWE-1236)への対策として、次のプラグインにおけるCSVファイルダウンロード時の処理を修正
EntryImExporter
AuthorImExporter
CategoryImExporter
ContentDataImExporter
CategorySetImExporter
主な改善・修正
- [CheckForSiteSync] SiteSync プラグインを拡張し、同期の承認ワークフローとファイル確認機能を追加
〈同期承認機能〉サイト単位で同期の申請・承認フローを設定可能。承認プロセスを経ることで、意図しない更新を防ぎ、安全な運用を実現
〈同期ファイルの確認機能〉同期申請画面にて、同期対象ファイルの一覧と差分を表示。ファイル単位で追加・変更・削除の内容を視覚的に確認可能 - 管理画面のヘッダー部に、公式ユーザーガイドへ直接アクセスできるボタンを追加
- [SiteArchive]アーカイブ(保存)されたサイトの管理画面ヘッダーに、現在アーカイブ状態であることを示す文言を表示
- [SiteSync] プラグイン設定の「作業領域」欄に、設定内容を補足する注釈を追加
詳細はリリースノートをご確認ください。
Movable Type Premium 9.1.0 について
Movable Type Premium 9.1.0 は、Movable Type 9.1.0 のリリースノートの内容に加えて、SiteSyncによる同期実行前に承認フローを挟むことができる新機能を追加したほか、いくつかの修正を行なっています。
リリース対象
- クラウド版
セキュリティ上の修正、改善
- CSV数式インジェクション(CWE-1236)への対策として、次のプラグインにおけるCSVファイルダウンロード時の処理を修正
EntryImExporter
AuthorImExporter
CategoryImExporter
ContentDataImExporter
CategorySetImExporter
主な改善・修正
- [CheckForSiteSync] SiteSync プラグインを拡張し、同期の承認ワークフローとファイル確認機能を追加
〈同期承認機能〉サイト単位で同期の申請・承認フローを設定可能。承認プロセスを経ることで、意図しない更新を防ぎ、安全な運用を実現
〈同期ファイルの確認機能〉同期申請画面にて、同期対象ファイルの一覧と差分を表示。ファイル単位で追加・変更・削除の内容を視覚的に確認可能 - 管理画面のヘッダー部に、公式ユーザーガイドへ直接アクセスできるボタンを追加
- [SiteArchive]アーカイブ(保存)されたサイトの管理画面ヘッダーに、現在アーカイブ状態であることを示す文言を表示
- [SiteSync] プラグイン設定の「作業領域」欄に、設定内容を補足する注釈を追加
このほか、いくつかの修正を行なっています。詳細はリリースノートをご確認ください。
それぞれの入手方法について
ソフトウェア版のアップデートを行う際は、データベースのバックアップを必ず取得したのち、上書きアップデートではなく別ディレクトリへインストールする形でのアップデートを強くおすすめします。
- ソフトウェア版 Movable Type (Advanced) / Movable Type Premium (Advanced Edition)のライセンスをお持ちの方
- シックス・アパート ユーザーサイトから最新版をダウンロードいただけます。 Movable Type を最新のバージョンにアップグレードする手順についてはマニュアルをご覧ください。
- ソフトウェア版 Movable Type (Advanced) / Movable Type Premium (Advanced Edition) のライセンスをお持ちでない方
- ライセンスご案内ページから、必要なライセンスをご購入ください。
- ソフトウェア版 Movable Type (Advanced) / Movable Type Premium (Advanced Edition) のライセンスをお持ちで、年間メンテナンスを継続せず期限が切れている方
- 最新バージョンご利用になるには、必要な期間分の年間メンテナンスもしくは新規でライセンスをご購入ください。
- クラウド版で Movable Type / Movable Type Premium をご利用の方
- ご利用のお客様の環境において既にメンテナンスを実施し、自動アップデートを有効にされているすべてのお客様の環境でアップデートが完了しています。
※ 自動アップデートは初期設定では有効です。意図的に無効にされている場合を除き、アップデートが実施されています。 - Movable Type AMI版 をご利用の方
- アップデートの手順はマニュアルをご覧ください。AWS Marketplace にはAWS による審査後に公開されます。新規購入の詳細は Movable Type AMI版 のページをご覧ください。
- 個人無償版をご利用の方
- 個人無償版ダウンロードフォームより再度お申し込みいただき、改めてダウンロードしてご利用ください。
その他、Movable Type の詳細は、製品サイトをご覧ください。
Movable Type のくわしい使い方や、タグリファレンス、開発者向けのドキュメントなどは、MovableType.jp で公開しています。プラグインやテーマは、プラグインディレクトリをご覧ください。
