2022年2月18日
転載歓迎

CVE-2021-22954 と V9 以前の Concrete への対応について

原文

MITRE が  CVE-2021-22954 を発表しました。V9 では修正されているものです。CSRF トークンが、Javascript に動的に保存されており、以下の Concrete CMS バージョンに該当します。

Concrete CMS Version 9 未満のサイトを運営している方は、Nginx や Apache の設定に、ヘッダーを一つ追加することで対策をしていただくことをお勧めします。

 

Cross-Origin-Resource-Policy を「same-origin」か「same-site」に設定してください。どちらかが最適かがわからない場合は、以下のドキュメントを参考にしてください。
https://developer.mozilla.org/ja/docs/Web/HTTP/Cross-Origin_Resource_Policy_(CORP)

 

Nginx の場合: location ブロックの中に

add_header Cross-Origin-Resource-Policy "same-origin";

 

Apache の場合 (.htaccess もしくは同等の場所で)

Header set Cross-Origin-Resource-Policy "same-origin"

 

Concrete CMS セキュリティチームは、CVSS 3.1 score of 4.8 AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N のスコアを与えました。

Solar Security Research Team からのレポートに感謝します。

 

以上