2022年6月21日
転載歓迎

Concrete CMS 8.5.8 リリース

858.png

2022年6月21日 (現地時間 6月20日) Concrete CMS (旧 concrete5) の最新版 8.5.8 がリリースされました。バグ修正が含まれているマイナーバージョンアップです。いくつかのセキュリティ脆弱性の修正も含まれています。

 

ダウンロードページから、最新版をダウンロードできます。

8.5.8 リリースノート

原文

動作の向上

  • JavaScriptとCSSのアセットに、キャッシュが最後にクリアされた時のタイムスタンプが追加されるようになりました (thanks deek87, haeflimi)
  • インストール時に表示される concrete5 表記を Concrete CMS, Concrete に改名しました。
  • アドオンアップデート画面でのバージョン履歴表示を改善しました (thanks biplobice)

バグ修正

  • エクスプレスのエントリーを削除後、ページリロードする前に、削除済みエントリーを並び替えようして発生するエラーを修正しました (thanks biplobice)
  • index_search_all ジョブを実行したときに、ユーザー、ファイル、サイトの再インデックス化が行われないというエラーを修正しました
  • ページのデフォルトから会話ブロックをコピーすると、それらがすべて同じ会話のインスタンスになるエラーを修正しました (thanks hissy)
  • Express、User、Page属性タイプのバリデーションがComposerとExpressで使用する際に機能するようになりました (thanks hissy)
  • プリミティブ値保存時のRedisキャッシュバックエンドの不具合を修正しました。
  • 修正: Express Formブロックを使用し、ファイルをフォームからアップロードすると、一見同じように見える2つのバージョンのファイルが作成される (thanks 1stthomas)
  • 修正: ページバージョンの削除ジョブを実行すると、すべてのサイトツリーで古いページバージョンをクリアする (thanks Ruud-Zuiderlicht)
  • OAuth2およびユーザーとしてのサインイン機能により、意図せずに自分のユーザーアカウントと別のアカウントを結合してしまう不具合を修正しました。
  • 404, 403, ログイン, 登録などシングルページをデフォルトのサイトロケールでレンダリングするようにしました (thanks hissy)
  • 修正: ドラッグ&ドロップでファイルのアップロードに失敗した場合、エラーメッセージを表示しないようにしました。
  • 特定の条件下でマーケットプレイスへの接続に失敗した場合に、正しくなく分からない表示を修正しました (thanks JohnTheFish)
  • トピックの属性検索フォームがフロントエンドで翻訳されない問題を修正しました (thanks 1stthomas)
  • 修正: エイリアスページが存在する多言語サイトツリーコピーのバグ (thanks hissy)
  • カスタムページの公開日が設定されている場合に、開始日と終了日が重複してしまうマイグレーションに関するバグを修正しました (thanks hissy)
  • 特定の条件下でエリアレイアウトを使用する際に発生するnull pointer Exception を修正しました (thanks biplobice)

セキュリティ修正

  • CKEditor を 4.16.2 から 4.18.0 へアップデートしました (thanks hissy)
  • CVE-2022-21829 - Concrete CMS Version 9.0.2 以下および 8.5.7 以下では、HTTP で zip ファイルをダウンロードし、その zip ファイルからコードを実行すると、RCE を引き起こす可能性があります。concrete' の代わりに 'concrete_secure' を強制することで修正しました。Concreteは、http経由でリクエストが来ても、https経由でのみリクエストを行うようになりました。Concrete CMS セキュリティチームは、この問題を CVSS v3.1 ベクターで 8 にランク付けしています。AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H  - https://hackerone.com/reports/1482520 にて Anna さんより報告をいただきました。
  • CVE-2022-30117 - Concrete CMS 9.0.2 と 8.5.7 以前: /index.php/ccm/system/file/upload にトラバースを許しており、Arbitrary File Delete exploitの原因となる可能性がありました。Concrete CMS Security チームは、この問題を CVSS v3.1 ベクトル AV:N/AC:H/PR:H/UI:N/S:C/C:N/I:N/A:H で 5.8 にランク付けしています。https://hackerone.com/reports/1482280 にてSiebene に報告していただきました。
  • CVE-2022-30120 - /dashboard/blocks/stacks/view_details/ の XSS。古いブラウザのみ対象。古いブラウザで内蔵の XSS 対策機能を無効にしている場合、Concrete CMS バージョン 9.02 以下および Concrete CMS 8.5.7 では、ビルドした URL を出力する際のサニテーションが不十分なため、XSS を許す可能性があります。最近のウェブブラウザでは、入力の自動エスケープ機構があるため、これを悪用することはできません。Dashboard Stacks のページソートの URL がサニタイズされるようになりました。Concrete CMS Security チームは、この脆弱性を CVSS v3.1 Vector AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N で 3.1 と格付けしています。ビルドされたURLが出力される部分にサニテーションが追加されました。https://hackerone.com/reports/1363598 にて報告していただいた FORTBRIDGE (https://www.fortbridge.co.uk/ ) の Bogdan Tiron に謝意を表します。
  • CVE-2022-30119 - /dashboard/reports/logs/view における XSS。古いブラウザのみ対象。Internet Explorer で XSS 対策が無効になっている場合、Concrete CMS バージョン 9.02 以下および Concrete CMS 8.5.7 以下では、ビルドした URL を出力する場所のサニタリー性が不十分なため、XSS を許してしまう可能性があります。最近のウェブブラウザでは、入力の自動エスケープ機構があるため、これを悪用することはできません。Concrete CMSセキュリティチームは、この脆弱性をCVSS v3.1 Vector AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:N で2ランク付けしています。構築されたURLが出力される部分にサニテーションが追加されました。https://hackerone.com/reports/1370054 ご報告いただいた zeroinside 様に感謝いたします。
  • CVE-2022-30118 - /dashboard/system/express/entities/forms/save_control/[GUID] における XSS を修正しました。旧ブラウザのみ。Internet Explorer で XSS 対策が無効になっている場合、Concrete CMS バージョン 9.02 以下および Concrete CMS 8.5.7 以下の express entities フォームでフォームコントロールを編集すると、XSS を許す可能性があります。これは、最新のウェブブラウザでは、自動入力エスケープ機構により悪用されることはありません。Concrete CMSセキュリティチームは、この脆弱性をCVSS v3.1 Vector AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:N で2ランク付けしています。https://hackerone.com/reports/1370054 報告してくれた zeroinside に感謝します。

 

以上