2024年3月12日
転載歓迎
Concrete CMS 9.2.7 リリース
2023年3月6日 (現地時間3月5日) Concrete CMS 最新版の 9.2.7 がリリースされました。 PHP8 対応のバグ修正やセキュリティ脆弱性修正などを含んだマイナーバージョンアップです。
ダウンロードページから、最新版をダウンロードできます。
Concrete CMS 9.2.7 リリースノート
動作の向上
- Bedrock/Bootstarpのテーマ以外でConcreteを使用した場合の特定のUI要素の表示を改善しました。
- 管理画面の「ウェブサイトに戻る」ボタンが、cID URLではなく見やすいURLを使用するようになりました。(Thanks JohnTheFish)
- 環境レポートにdb charset と collation を追加しました。(Thanks JohnTheFish)
バグ修正
- 修正:カレンダーイベントダイアログの時間選択肢がすべての時間を表示しない問題を修正しました。
- 修正:PHP 8 での /concrete/attributes/date_time/controller.php の「Undefined array key "value"」エラーを修正しました。
- 修正:PHP 8 での/concrete/blocks/calendar_event/controller.php:224 の「Undefined array key '0'」エラーを修正しました。
- クリップボードサイドパネルでのページネーションが機能しない問題を修正しました。(thanks quentinnorbert0)
- ページテンプレート名を表示する際の二重エンコードを修正しました。(thanks quentinnorbert0)
- 組み込みのHTML日付選択ウィジェットを使用して日付/時刻属性をクリアできない問題を修正しました。
- ログで時間での詳細検索を試みたときのバグを修正しました。(thanks Quentin-Gach)
- サイト名にアンパサンドを含めると、サイトのブラウザタイトルに & と表示されるエラーを修正しました。
- PHP 8での/concrete/blocks/survey/controller.php:206の「Undefined property: Concrete\Block\Survey\Controller::$cID」エラーを修正しました。
- 特定の条件下でのPHP 8での/concrete/single_pages/download_file.php:23の「Undefined variable $fID」エラーを修正しました。
- 非スカラー値をログに記録しようとしたときのエラーを修正しました。(thanks JohnTheFish)
セキュリティ修正
- CVE-2024-2179がcommit 11965 で修正されました。これは、グループタイプの名前フィールドにおけるStored XSS(永続的なクロスサイトスクリプティング)です。管理者が提供したデータの検証が不十分なため、ローグ管理者がグループタイプの名前フィールドに悪意のあるコードを挿入し、ユーザーが影響を受けるページを訪れたときに実行される可能性があります。Concrete CMSセキュリティチームは、CVSS v3ベクターAV:N/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:Nで2.2と評価しました。Concreteの9バージョン未満にはグループタイプが含まれていないため、この脆弱性の影響を受けません。報告者のLuca Fudaさんに感謝します(HackerOne 2383192)。
以上