2023年12月8日
転載歓迎
Concrete CMS 8.5.14 リリース
2023年12月6日に Concrete CMS 8.5.14 がリリースされました。継続的なサポートとして、 Zend Mail ライブラリをアップデートし、TLS 1.2 のサポートを追加しました。
また、イベント削除ダイアログの CSRF や、レイアウトプリセット名の XSS 脆弱性の修正も加えました。CVE で発表されていた脆弱性の修正となり、CMS のセキュリティ強化を図っています。
ダウンロードページから、最新版をダウンロードできます。
Concrete CMS 8.5.14 リリースノート
バグ修正
- Zend Mail の TLS 1.2 の継続サポート (thanks hissy, mlocati)
セキュリティ修正
- 8.5.14のコミット11765に含まれるトークンを含むPostリクエストのみを受け付けるようにUpdate Dialogエンドポイントを更新することで、ccm/calendar/dialogs/event/delete/submit経由のCVE-2023-48653 Cross Site Request Forgery (CSRF)を修正しました。修正前は、イベント ID が数値で連続するため、攻撃者は管理者にサイト上のイベントを削除させることができます。Concrete CMS セキュリティチームは、この問題を CVSS v3 vector で 4.3 と採点しました。報告しいただいた Veshraj Ghimire 氏に感謝します。
- 8.5.14のコミット11765で、レイアウトプリセット名のCVE-2023-48650 Stored XSSを修正しました。Concrete CMS Security チームは、これを CVSS v3 vector AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N で 3.5 と採点しました。 報告に協力してくれた Solar Security CMS Research、d0bby氏、wezery0氏、silvereniqma氏に感謝します!
以上