2024年2月7日
転載歓迎
Concrete CMS 9.2.5 リリース
2024年2月7日 (現地時間2月6日) に Concrete CMS 9.2.5 がリリースされました。主にバグ修正が含まれたパッチリリースです。
ダウンロードページから、最新版をダウンロードできます。
Concrete CMS 9.2.5 リリースノート
新機能
- トップナビゲーションバーブロックに「アクセス権無視」フィールドを追加しました.(thanks SashaMcr)
動作の向上
- 環境情報レポートにDoctrine開発モードを表示するようにしました(thanks JohnTheFish)
- Concreteのインストールが推奨されるRAM量よりも少ない設定になっている場合、コンソールコマンドが正常に動作しない可能性があることを警告するようになりました。
- コンポーザーフォームからブロックコントロールを削除すると、ページデフォルトのすべての出力コントロールも削除されるようになりました。
- スタイルカスタマイザーによって出力されるスタイルシートは、ccm_nocache値が追加されるようになりました。これにより、サイトのキャッシュをクリアするとCSSファイルが適切に更新されるようになります。(thanks danklassen)
- 管理画面のExpress Formsページの表示を改善しました (thanks shahroq)
- 検索ブロックビューテンプレートで$_REQUESTパラメータへの直接参照を削除しました。(thanks shahroq)
- ファイルREST API操作のすべてにおいて、ファイルフォルダIDがレスポンスに含まれるようになりました。
- ファイルマネージャーの詳細ページでファイル識別子が利用可能になり、API呼び出しに使用する必要があることが指定されています。
バグ修正
- ページタイプデフォルトを編集しようとした際に発生したホームページへのリダイレクトを修正しました。
- ページタイプやページテンプレートから切り離されたComposer出力コントロールブロックを編集しようとした際のエラーを修正しました。 (thanks JohnTheFish)
- Atomikテーマのドキュメントをインストールしようとする際に、未定義のchooseCalendarフィールドに関するエラーが発生する問題を修正しました。
- Expressオブジェクトの保存された検索を表示してCSVをエクスポートしようとすると、保存された検索に含まれる値だけでなくすべての値がエクスポートされてしまうバグを修正しました。
- フルコンテンツの置換を実行する際に、一部のフロントエンドページが削除されない場合がある問題を修正しました。(thanks mlocati)
- Safari/iOSでTwitter/Xソーシャルアイコンが正しく表示されない問題を修正しました。
- Atomikスキンがカスタマイザーで定義された適切な色を使用せず、代わりにBootstrapのデフォルトを使用していた問題を修正しました。
- フロントエンドのExpressフォームブロックでExpressオブジェクトの名前を変更した場合に、名前を変更する更新が元に戻される問題を修正しました。
- 管理画面のページ検索のプロパティメニューから属性を追加しようとした際に非スーパー管理者による「アクセスが拒否されました」エラーを修正しました。
- ユーザーのタイムゾーンが設定されている場合にExpress DateTime属性が誤ったタイムゾーンで保存される場合がある問題を修正しました。
- プロセスまたはスケジューリングがまだ存在する場合にパッケージをアンインストールできない問題を修正しました。(thanks hissy)
- ブラウザを再読み込みせずに高度なブロック設定を複数回編集するとエラーが発生する問題を修正しました。
- PHP 8でページの説明が未定義の場合にデフォルトのサマリーテンプレートがエラーを発生させる可能性がある問題を修正しました。
- カレンダーイベントのサマリーテンプレートが最初のイベント作成時に適切に入力されない場合があるバグを修正しました。
- ページバージョンにカスタムスキンを設定した場合に、次のページバージョンが作成された際にデフォルトスキンにリセットされる問題を修正しました。
- 以前のバージョンでプロパティを追加した場合にタグブロックが更新されない問題を修正しました。
- ページリストの「ページアクセス権を無視する」オプションを保存できない問題を修正しました。(thanks SashaMcr)
- Express一覧ブロックの「ページネーションを有効にする」オプションを保存できない問題を修正しました。(thanks shahroq)
- 空のトピック属性を持つページを表示する際に「Undefined array key 0」エラーが発生する問題を修正しました。(thanks shahroq)
- アップロードファイルREST APIエンドポイントが壊れてしまうバグを修正しました。
- ComposerとPHP8.2でConcrete 9.2.4をインストールできない問題を修正しました。
セキュリティ修正
- CVE-2024-1245のStored XSSが修正されました。Concrete 9.2.5以前のバージョンでは、Edit Attributesページでの管理者が入力したファイル属性が十分にサニタイズされていませんでした。悪意のある管理者がファイルのタグや説明属性に悪意のあるコードを挿入し、別の管理者が同じファイルを編集しようとした際に、その悪意のあるコードが実行される可能性がありました。Concrete CMSセキュリティチームは、この脆弱性をCVSS v3ベクターAV:N/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:Nで2.4と評価しました。Concreteの9バージョン未満には影響しません。報告者のPoto Gaborさんに感謝します(Hackerone 2309264)。
- CVE-2024-1246のReflected XSSが修正されました。Concrete 9.2.5以前のバージョンでは、画像のインポート時に管理者が提供したデータの検証が不十分でした。悪意のある管理者が画像をインポートする際に悪意のあるコードを注入することができ、その結果、ウェブサイトのユーザーのブラウザで悪意のあるコードが実行される可能性がありました。Concrete CMSセキュリティチームは、この脆弱性をCVSS v3ベクターAV:N/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:Nで2と評価しました。Concreteの9バージョン以前には影響しません。報告者のcupc4k3さんに感謝します(Hackerone 2337524)。
- CVE-2024-1247のStored XSSが修正されました。Concrete 9.2.5以前のバージョンでは、管理者が提供したデータの検証が不十分でした。悪意のある管理者が「役割名」フィールドに悪意のあるコードを挿入することができ、影響を受けるページを訪れたユーザーにそのコードが実行される可能性がありました。Concrete CMSセキュリティチームは、この脆弱性をCVSS v3ベクターAV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:Nで2と評価しました。Concreteの9バージョン未満には、グループタイプが含まれていないため、この脆弱性の影響を受けません。報告者のcupc4k3さんに感謝します(Hackerone 2337519)。
開発者向け修正
- CKEditorが4.22.1に更新されました。
- Bedrockが1.4.14に更新されました。
- formatSize()がギガバイトを超えるサイズに対応しました(mlocatiさん、ありがとうございます)。
- auto-populated SCSS変数「concrete-theme-path」が追加されました。これには現在のConcreteテーマへの相対パスが含まれ、開発者がカスタマイザーで背景画像をSCSSファイルで信頼性を持って使用できるようになります。同時に、ウェブサイトのサブディレクトリにインストールされたり、場所が変更される可能性があるテーマをサポートします。実装の詳細については、https://forums.concretecms.org/t/theme-development-compiling-sass-files-including-paths/6292/4 を参照してください。
- Node::getByNameにparentIDをオプションのパラメータとして追加しました(krebbiさん、ありがとうございます)。
後方互換性ノート
- Attribute\Key\Component\KeySelector\ControllerTrait クラスを使用して独自の一括編集インターフェースを実装している場合、canEditAttributeKeyメソッドを修正して、その第二パラメータとしてオブジェクトを含める必要があります。例として、concrete/controllers/dialog/page/bulk/properties.php を参照してください。(これは一般的なケースではありません。)
以上