2023年12月8日
転載歓迎
Concrete CMS 9.2.3 リリース
2023年12月6日に Concrete CMS 9.2.3 がリリースされました。今回のアップデートでは UX とセキュティにフォーカスしています。
SNSサービスの Twitter を X に名称変更、ヘルスレポート機能を合理化し、パッケージをアルファベット順に表示するようにし、より情報量の多いパッケージメッセージなど、ダッシュボードの使いやすさを向上させました。
このリリースでは、PHP8 でのレイアウトプリセット、IP アドレスログの取り込み、スタイルやブロックのエクスポート/インポートにおける不一致の修正など、いくつかのバグ修正も包まれます。またファイルフォルダ管理とページのエクスポート処理に関するエラーも修正しました。
セキュリティ
セキュリティに関するコミットメントをより強化していきまし。今回も、 Reflected XSS や Stored XSS の脆弱性を含む複数のCVEを修正しました。詳しくは、セキュリティリリースのお知らせをご覧ください。(翻訳中)
ダウンロードページから、最新版をダウンロードできます。
Concrete CMS 9.2.3 リリースノート
動作の向上
- ソーシャル・ネットワーキングおよびソーシャル共有サービスにおいて、Twitter を「X」に改称しました。
- ヘルス:レポートから「Start a New Report」ページへのリンクを追加しました。 (thanks mlocati)
- メッセージに長いパスが含まれるログは、ログレポートの管理画面パネルの下に表示されなくなりました。
- 管理画面のリストインターフェースで。パッケージがアルファベット順にソートされるようになりました。(thanks JohnTheFish)
- パッケージインストールの成功メッセージに、パッケージ名とバージョンを追加しました。(thanks JohnTheFish)
- アップデートメッセージのパッケージ名を翻訳しました。(thanks JohnTheFish)
バグ修正
- PHP 8 でレイアウトプリセットを保存する際のエラーを修正しました。
- IPアクセスログチャンネルのインポートを修正しました。(thanks mlocati)
- パッケージ内のカスタムクラスで使用されるツリーおよびツリーノードをインポートする際の問題を修正しました。
- 修正:インポートしていないブロックとエリアのカスタムスタイルを3つエクスポートしました。(thanks mlocati)
- ファイルフォルダがお気に入りとして追加された後、ファイルマネージャで削除された場合、ファイルセレクタを使用する際にエラーが発生するバグを修正しました。
- コンテンツエクスポーターを使用して、スクラップブックに貼り付けられたブロックを含むページをエクスポートする際の奇妙な動作を修正しました。(thanks mlocati)
- CIF XMLから特定の条件下でRSS表示ブロックをインポートする問題を修正しました。(thanks mlocati)
- CIF XMLファイルのバグを修正しました。(thanks mlocati)
- 修正:トピックリストブロック:エクスポートされたCIFに不足していたtitleFormatを追加 (thanks mlocati)
- ツリーノードタイプのインポートに関するバグを修正しました。(thanks mlocati)
- サイトタイプのスケルトンのインポートに関するバグを修正しました。 (thanks mlocati)
- c5:translate -fill のバグを修正しました。(thanks mlocati)
- 特定の条件下で PHP 8 のページタイプを編集する際のバグを修正しました。(thanks mlocati)
開発者向けノート
- XのソーシャルネットワーキングサービスのアイコンはSVGとして提供されています。つまり、「このページを共有」や「ソーシャルネットワーキング」のサービスアイコンを表示する際には、フォント・アイコンと同様にSVGを適切にスタイル設定するようにテーマを更新する必要があるかもしれません。
- CIF XML ファイルをクリーンアップしました。 (thanks mlocati)
- Xmlサービスクラスを改良しました。(thanks mlocati)
- CIF XMLファイルからbool値をインポートする際に、bool値のような値を受け付けるようになりました。 (thanks mlocati)
セキュリティ修正
- コミット11764でタグのCVE-2023-44762 Reflected XSSを修正、この脆弱性はバージョン9.2.0用カスタムライブラリであるため Concrete CMS 9.2~9.2.2のみに影響します。
- コミット 11764 で、Concrete Site Installation の Name パラメータの CVE-2023-44764 Stored XSS を修正しました。
- コミット 11764 で、/ccm/system/dialogs/logs/delete_all/submit を経由したクロスサイトリクエストフォージェリ (CSRF) CVE-2023-48652 を修正しました。 攻撃者は、管理者ユーザに、現在認証されているウェブアプリケーションのサーバレポートログを強制的に削除させることができます。コンクリートCMSセキュリティチームは、この問題をCVSS v3 vector AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:Lで6.3と評価しました。これは9以下のバージョンには影響しません。報告者のVeshraj Ghimire氏に感謝します。
- 更新ダイアログのエンドポイントを更新し、コミット 11764 に含まれるトークンを使用した Post リクエストのみを受け付けるようにすることで、CVE-2023-48651 を修正しました。 ファイルを削除する Cross Site Request Forgery (CSRF) 脆弱性は、/ccm/system/dialogs/file/delete/1/submit に存在します。Concrete CMS セキュリティチームはこの脆弱性を CVSS v3 vector AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L の 4.3 としました。報告者のVeshraj Ghimire氏に感謝します。
- 9.2.3のコミット11764に含まれるトークンを含むPostリクエストのみを受け付けるようにダイアログエンドポイントを更新することで、ccm/calendar/dialogs/event/delete/submit経由のCVE-2023-48653クロスサイトリクエストフォージェリ(CSRF)を修正しました。修正前は、イベント ID が数字で連続するため、攻撃者は管理者にサイト上のイベントを削除させることができます。Concrete CMS セキュリティチームは、この問題を CVSS v3 vector AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N で 4.3 と採点しました。報告者の Veshraj Ghimire 氏に感謝します。
- 9.2.3のコミット11764および8.5.14のコミット11765で、レイアウトプリセット名のCVE-2023-48650 Stored XSSを修正しました。Concrete CMS Security チームはこれを CVSS v3 vector AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N で 3.5 と採点しました。Solar Security CMS Research、 d0bbyさん wezery0さん silvereniqmaさんのご協力を得ました!
- CVE-2023-49337 Admin Dashboard の /dashboard/system/basics/name 経由の Stored XSS を修正しました(コミット 07b4337) Concrete CMS セキュリティチームは、この脆弱性を CVSS v3 vector AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N で 2.4 と採点しています。この脆弱性は Concrete 8.5 以下には存在しません。
以上