2024年4月8日
転載歓迎
Concrete CMS 8.5.16 リリース
2024年4月3日 (現地時間4月2日) に Concrete CMS 8.5.16 がリリースされました。セキュリティ脆弱性の修正が含まれています。
ダウンロードページから、最新版をダウンロードできます。
Concrete CMS 8.5.16 リリースノート
セキュリティアップデート
- CVE-2024-2753 のStored XSSが commit: 11988 で修正されました。これは、悪意のある管理者がConcrete CMSのカレンダー色設定画面に悪意のあるJavascriptを挿入することができ、色設定画面にアクセスするユーザーに影響を及ぼす可能性がありました。Concrete CMSセキュリティチームは、この脆弱性にCVSS v3.1スコア2.0 を付け、ベクターはAV:N/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:Nであると評価しました。HackerOne 2433383を報告してくれたRikuto Tauchiさんに感謝します。
- CVE-2024-3178 クロスサイトスクリプティング (XSS) が ver.9 は commit:11988 、ver.8 は commit:11989 で修正されました。これは、管理者が提供されたデータの検証が不十分であるため、悪意のある管理者がファイルマネージャーに悪意のあるコードを追加することができました。すべての管理者がファイルマネージャーにアクセスできるため、悪意のあるコードが添付された検索フィルターを作成することができました。Concrete CMSセキュリティチームは、この脆弱性にCVSS v3.1スコア3.1を付け、ベクターはAV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:Lであると評価しました。HackerOne 949443を報告してくれたGuram (javakhishvili)さんに感謝します。
- CVE-2024-3179 のStored XSS が ver.9 は commit:11988 で、ver.8 は commit:11989 で修正されました。これは、カスタムクラスページの編集で管理者が提供されたデータの検証が不十分であるため、悪意のある管理者がカスタムクラスフィールドに悪意のあるコードを挿入できました。Concrete CMSのバージョン9.2.8と8.5.13では、このCSSクラスに非英数字文字を許可しなくなりました。Concrete CMSセキュリティチームは、この脆弱性にCVSS v3.1スコア3.1を付け、ベクターはAV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:Lであると評価しました。HackerOne 918129を報告してくれたAlexey Solovyevさんに感謝します。
- CVE-2024-3180が修正されました。ファイルタイプのブロックを作成する際に、悪意のある管理者がリンクテキストフィールドに悪意のあるコードを追加することでStored XSSが実行される可能性がありました。この脆弱性は、ver.9用の commit: 11988 と ver.8用の commit:11989 で修正されました。Concrete CMSセキュリティチームは、この脆弱性にCVSS v3.1スコア3.1を付け、ベクターはAV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:Lであると評価しました。HackerOne 903356を報告してくれたAlexey Solovyevさんに感謝します。
- CVE-2024-3181が修正されました。悪意のある管理者が以前に悪意のあるコードを追加したフィルターを変更することでStored XSSが実行される可能性がありました。Concreteチームは、ver.9用の commit:11988 とver.8用の commit: 11989でこれを修正しました。HackerOne 918142を報告してくれたAlexey Solovyevさんに感謝します。
以上