2023年11月8日
転載歓迎
Concrete CMS 9.2.2 リリース
2023年11月8日に Concrete CMS 8.5.13 がリリースされました。
多言語切り替えブロックの新テンプレート、バグ修正、セキュリティ修正などが含まれたマイナーバージョンアップです。
ダウンロードページから、最新版をダウンロードできます。
Concrete CMS 9.2.2 リリースノート
新機能
- トップナビゲーションバーに言語切り替えオプションを追加し、ナビゲーションバーにサイト言語のリストを表示できるようにし、指定されたページの言語切り替えを容易にしました。(thanks hissy)
機能の向上
- Express DetailブロックがgetSearchableContentに対応しました:このブロックを含むページは、そのブロックのコンテンツが適切に検索インデックスに追加されます。
- 管理画面でユーザーを追加する際に、ユーザー名の長さの最小値と最大値を表示するようになりました。
- トピック属性の大きなトピックツリーや、管理画面のユーザーページおよびファイルマネージャーページの大きなファイルマネージャーツリーのパフォーマンスが向上しました。
- パッケージ更新後に表示されるメッセージにパッケージ名とバージョンを追加しました(thanks JohnTheFish)
- 管理画面からユーザーのパスワードをリセットする際のフィールドレイアウトのわかりやすさを改善しました。(thanks iampedropiedade)
- ページリストブロックは、ccm_paging_p が2以上の場合のみカノニカルパスを出力します (thanks ccmEnlil)
- サイト属性でセットが有効になっている場合、サイト全体の属性がセットごとにグループ化されるようになりました。(thanks parasek)
- ページセレクタとユーザーセレクタの属性が、Expressラベルエントリの表示マスク/ラベルで使用された場合に、より適切に機能するようになりました。
- Atomikブログの要約テンプレートに画像へのリンクを追加しました。
- いくつかの自動作成されたディレクトリを、適切なディレクトリパーミッションを使用するように更新しました(thanks mlocati)
- リッチテキストエディタの設定ダッシュボードページでチェックボックスのラベルをクリックしても、該当するチェックボックスがチェックされない (thanks mlocati)
バグ修正
- ページ属性がまだ承認されていないバージョンであっても、保存するとすぐに属性インデックスに追加されるバグを修正しました。
- アナウンスを見るべき特定のユーザーにアナウンスが表示されない場合がある不具合を修正しました。
- 特定の条件下で、ファイルアップローダのアクセスエンティティを使用してファイルマネージャで高度なアクセス許可を使用する際のバグを修正しました。
- Atomikテーマで、ページの特定のプロパティが設定されていない場合、ボードがエラーになるバグを修正しました。
- 高度なアクセス許可において、アクセス許可エンティティにカスタム日付/時間範囲を選択できないバグを修正しました。
- 修正: ファイルマネージャーから画像を削除すると、ギャラリーブロックのあるページが壊れる。
- コアのdate/datetime属性はjQuery UIを必要としなくなりました。(thanks hamzaouibacha)
- 修正: ページリストフォームの関連トピックのヘルプブロックが正しくない (thanks ccmEnlil)
- 修正: ファイルマネージャーでフォルダをお気に入り登録しているユーザーを削除できない (thanks mlocati)
- コンポーザーでページのURLスラッグを更新した後、ページが見つからないエラーを修正しました。
- PHP 8.2以降との互換性が向上しました。
- 修正:Response Asset Group::requireAsset が "core/rating" を要求したが、"core/rating" は有効なアセットグループハンドルではなかった
- 修正: 特色リンクブロック: PHP8で未定義変数$buttonColorエラー
- ファイルマネージャのファイル追加ダイアログからディレクトリセレクタを削除しました。
- PHPのバージョンが8より低い場合、特定のマーケットプレイスのファイルが、実際には互換性がないにもかかわらず、現在のバージョンと互換性がないとマークされてしまうバグを修正しました。
- PHP 8でカレンダーボードの設定を行う際に、未定義の変数$calendarIDがPHP 8で使用されていた問題を修正しました。
- サイトタイプレベルでのマルチサイトのデフォルトサイト属性が機能していなかったバグを修正しました。
- 修正:--envコマンドオプションがv9で無視される (thanks jscott-rawnet)
- ページタイプの下書きを編集する権限を与えられたユーザーが、実際にその下書きを公開できない問題を修正しました。
- マイグレーションツールを使用する際、画像ブロック内のリンク設定が正しくエクスポートされるようになりました。 (thanks hissy)
- カスタムコードを使用してトピックでフィルタリングしている場合、似た名前のトピックが両方のトピックに割り当てられたオブジェクトを返す問題を修正しました。 (thanks pszostok)
- ダウンロードファイルのシングルページに無効なファイルが渡された場合のエラーを修正しました。(thanks JohnTheFish)
- ユーザー詳細検索のユーザーグループ検索で、ネストされたグループがパンくずのHTMLを表示するバグを修正しました。
- CollectionSearchIndexAttributesテーブルが、承認されたバージョンではなく、最新のバージョンに基づいて更新される場合があったのを修正しました。(thanks biplobice)
- concrete/attributes/email/controller.php:33の未定義の配列キー "value"を修正しました。 (thanks mlocati)
- 修正: ログインページでのPHP 8の非推奨警告 (thanks mlocati)
- user_group属性のフォームからHTMLを削除。
- Snippet::getByHandle()におけるPHP8の未定義キー例外を防ぐ (thanks bikerdave)
- 特定の言語でexpressフォームを追加する際に "Invalid or Empty Node passed to getItem constructor." エラー (thanks hissy)
- PHP8でのファイルダウンロードページのバグ修正 (thanks JohnTheFish)
- PHP8でマルチサイトを有効にしている場合に、別のユーザーとしてログインするとエラーが発生する問題を修正しました。
- PHP 8 の /login/session_invalidated で未定義の変数 $user があったのを修正 (thanks hissy)
- 特定のユーザーがアナウンスを解除できない場合がある不具合を修正しました。
- 下書きページがデフォルトから継承されている場合、「サブページの権限」設定が無視される問題を修正しました。(thanks hissy)
- "ページリストの編集 "ブロックの view で t() で翻訳できるように追加しました。(thanks mlocati)
- カレンダーサマリーテンプレートを使用して、特定のイベントで利用可能なサマリーテンプレートの特定のサブセットを選択しようとしたときのバグを修正しました。
- Expressの属性キーに "get "というフレーズが含まれている場合、プログラムでアクセスするとエラーが発生する問題を修正。
- アップデートを実行する際に、キャッシュされたものではなく、新しいバージョンオブジェクトをロードするようになりました。(thanks pszostok)
- エクスプレスフォームブロックのフォーム名が最初の設定以降変更できない問題を修正しました。(thanks hamzaouibacha)
- アコーディオンブロックのタイトルフィールドの出力をサニタイズする(thanks ismeashim)
- Express Formsを通じてアップロードされたファイルの出力を適切にサニタイズするようになりました。
- Guzzle7.8に更新し、問題を修正しました!!!
- League OAuth2サーバーの依存関係を8.4.2に更新し、セキュリティ問題を修正しました。
- Expressオブジェクトの複数形ハンドルのサニタイズが改善されました。
- Expressオブジェクトのカスタムラベルのサニタイズが改善されました。
開発者向け機能向上
- カスタムテーマのドキュメントページ(サポート要素にサイトページタイプやページテンプレートを使用するページでありながら、ドキュメントページエリアに存在するページ)に新しい機能を追加しました。
- ReindexPageCommandを完全な同期型にし、開発者が非同期でインデックスを再作成するためにページをキューに入れたい場合に使用する非同期型の新しいQueueReindexPageCommandを追加しました。
- 新しいコンソールコマンド concrete:theme:activate と concrete:theme:activate-skin を追加しました。
- on_page_duplicateイベント使用時に、新しいページの表示順とページパスに影響を与える機能を追加しました。
- DeleteGroupCommandがサブグループの処理をカスタマイズできるようになりました。(thanks mlocati)
- 開発者がカスタムコードを使用して、トップナビゲーションバー内のPageItemクラスとNavigationクラスをオーバーライドできるようになりました。
セキュリティ修正
- Concrete CMSがGuzzle CVE-2023-29197の脆弱性を受けないように、Guzzle HTTPライブラリを7.8に更新しました。
- 修正済み ファイル作成関数がデフォルトで作成されたフォルダーにユニバーサルアクセス (0777) を与えていたため、安全でないパーミッションでフォルダーが作成されることがありました。0755 を超えるパーミッションでディレクトリを作成した場合、または permissions 引数を指定しなかった場合に、過剰なパーミッションが付与される可能性がありました。コンクリートCMSセキュリティチームは、CVSS v3 vector AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:Hでこれを6.6と採点しました。 H12122245を報告してくれたtahabiyikli-vortex氏に感謝します。修正を提供してくれたMlocati氏に感謝する。コミット 11677 で修正しました。
- アップロードされたファイルをサニタイズすることで、コンクリート管理ページに蓄積型XSSを修正しました。
- アップロードされたファイル名をサニタイズすることで、Concrete Adminページに蓄積型XSSを修正しました。Concrete CMSセキュリティチームはこれをCVSS v3ベクトルで3.5としました。AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N H1 2149479 を報告してくれた @akbar_jafarli さんに感謝します。コミット 11695 で修正しました。
- CVE-2023-44761 を修正しました。このコミットにより、管理者がデータオブジェクト経由で XSS を追加できるようになりました。
- コミット 11746 で、関連付け (データオブジェクト経由) における CVE-2023-44765 蓄積型XSS を修正しました。
以上