2022年11月2日
転載歓迎

Concrete CMS 9.1.3 リリース

Concrete CMS  Version 9 の最新版 9.1.3 がリリースされました。主に年次で行っている侵入テスト・脆弱性診断の結果に基づくセキュリティ関連の修正が主になります。

ダウンロードページから、最新版をダウンロードできます。

9.1.3 リリースノート

原文

動作の向上

• legacy_salt 機能を読みやすくしました。

セキュリティ修正

セキュリティ脆弱性の詳細はセキュリティに関する告知 (2022-10-31) をご覧ください。

Medium

• CVE-2022-43693 OAuth 認証にステートパラメーターを追加し、CSRF を防止するように。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
• CVE-2022-43692 管理画面の検索ページで XSS を防ぐために出力をサニタイズするようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
• CVE-2022-43694 画像編集ライブラリのAPIエンドポイント出力をサニタイズし、Reflected XSS を防止するようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
• CVE-2022-43967 管理画面の多言語レポートページの出力をサニタイズし、Reflected XSS を阻止するようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
• CVE-2022-43968 管理画面のアイコン出力をサニタイズし、Reflected XSS を阻止するようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
• CVE-2022-43686 無限 Cookie のパフォーマンスを向上させ DoS 攻撃を防ぐようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
• CVE-2022-43691  $_SERVER や $_ENV 出力を whoops のデフォルト出力から隠すようにし、余分な情報を漏洩しないようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
• CVE-2022-43687 OAuth を通じて認証する際に、セッションIDを新しく生成するようにしまし、セッション固定化を防ぐようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
• 管理画面のパンくず出力をサニタイズし、Stored XSS を防ぐようにしました。HackerOne で @_akbar_jafarli_for による報告 #1696363.

Low

• CVE-2022-43695 Stored XSS を防ぐために、エンティティアソシエーションのエンティティ名をサニタイズするようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
• CVE-2022-43690 レガシーパスワードアルゴリズムの strict 比較をするようにし、整数変換が起こらないようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
• CVE-2022-43688 Stored XSS を防止するために、Microsoft タイルアイコンをサニタイズ出力するようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
• CVE-2022-43689 SVG ファイルをサニタイズする際のエンティティ拡張を無効化し、DNSベースのIPアドレス漏洩を防ぐようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。

ランク付なし

• 管理者に向けての警告を追加し、想定している以上の権限を与えていないかを確認するようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。
• グループの親グループを別の親グループに移動した時、親グループの権限も許可されつつ、以前の権限も保持されてしまうという警告を表示するようにしました。FORTBRIDGE の Bogdan 氏と Adrian Tiron 氏による報告に感謝。

以上