hishikawa様
JVNDB-2015-008097 は jQuery 3.0.0 未満のすべてのバージョンが対象というわけではないのですね。
Concrete CMS でも jQuery 3 系が利用できるようになるとのことで心強い限りです。
明確なご回答をいただきありがとうございました。
Concrete CMS の jQuery について
2021年8月20日 at 17:41
Concrete CMS に同梱の jQuery について質問を受けることがあります。
ブラウザでソースを表示し読み込まれているファイルを開くと、以下のようにクレジットされているが大丈夫かという内容です。
/*! jQuery v1.12.2 | (c) jQuery Foundation | jquery.org/license */
WordPress に同梱の jQuery が3系に変更されたこともあり、サポートの終了した古いバージョンの脆弱性について目にする機会が増えたのかもしれません。
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-008097.html
セキュリティについては以下などを参考に案内してまいりましたが
http://concrete5-japan.org/about/security/
http://concrete5-japan.org/news/iso27001/
CMS の候補として Concrete を推すにあたり、脆弱性を含むバージョンの jQuery が使用されていることについて、皆様はどのように説明しておられますでしょうか。
タグ:
Your post has been saved and will be published after approval by the forum moderator.
takuro hishikawa
Re: Concrete CMS の jQuery について
まず、問題の jQuery 1系の脆弱性ですが、1.12.3 以降に存在します。
jQuery 1系では修正される予定がなく、もしアップデートしたい場合は jQuery 3 系に移行するようにアナウンスされています。
http://github.com/jquery/jquery/issues/2432#issuecomment-403761229
そのため、我々は concrete5 8.5.2 のリリースの際、jQuery 1.12.4 から 1.12.2 に戻す対応を行いました。
http://github.com/concrete5/concrete5/pull/7812
concrete5 8.5.2 以降をご利用の方は、本件については対策済みとなります。
なお、現在RC版がリリースされている時期メジャーバージョンとなる Concrete CMS 9.0.0 では、jQuery 3 系にアップデートが行われます。