Concrete CMS の jQuery について

2021年8月20日 at 17:41

Concrete CMS に同梱の jQuery について質問を受けることがあります。
ブラウザでソースを表示し読み込まれているファイルを開くと、以下のようにクレジットされているが大丈夫かという内容です。

/*! jQuery v1.12.2 | (c) jQuery Foundation | jquery.org/license */

WordPress に同梱の jQuery が3系に変更されたこともあり、サポートの終了した古いバージョンの脆弱性について目にする機会が増えたのかもしれません。
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-008097.html

セキュリティについては以下などを参考に案内してまいりましたが
http://concrete5-japan.org/about/security/
http://concrete5-japan.org/news/iso27001/
CMS の候補として Concrete を推すにあたり、脆弱性を含むバージョンの jQuery が使用されていることについて、皆様はどのように説明しておられますでしょうか。

タグ:

Re: Concrete CMS の jQuery について

2021年8月20日 at 17:53
よく質問される件ですのでこの機会に回答しておきます。

まず、問題の jQuery 1系の脆弱性ですが、1.12.3 以降に存在します。
jQuery 1系では修正される予定がなく、もしアップデートしたい場合は jQuery 3 系に移行するようにアナウンスされています。
http://github.com/jquery/jquery/issues/2432#issuecomment-403761229

そのため、我々は concrete5 8.5.2 のリリースの際、jQuery 1.12.4 から 1.12.2 に戻す対応を行いました。
http://github.com/concrete5/concrete5/pull/7812

concrete5 8.5.2 以降をご利用の方は、本件については対策済みとなります。

なお、現在RC版がリリースされている時期メジャーバージョンとなる Concrete CMS 9.0.0 では、jQuery 3 系にアップデートが行われます。
 

Re: Concrete CMS の jQuery について

2021年8月20日 at 19:12
hishikawa様

JVNDB-2015-008097 は jQuery 3.0.0 未満のすべてのバージョンが対象というわけではないのですね。
Concrete CMS でも jQuery 3 系が利用できるようになるとのことで心強い限りです。
明確なご回答をいただきありがとうございました。
 

Re: Concrete CMS の jQuery について

2021年8月20日 at 19:57
> JVNDB-2015-008097 は jQuery 3.0.0 未満のすべてのバージョンが対象というわけではないのですね。

はい、その通りです。とはいえ、jQuery 1 系はメンテナンスが止まっているバージョンですので、未知の脆弱性が存在する可能性は否定できません。
バージョン9でjQueryが3系にアップデートするのは、コミュニティとしても待望のアップデートになります。