2022年2月18日
転載歓迎
CVE-2021-22954 と V9 以前の Concrete への対応について
MITRE が CVE-2021-22954 を発表しました。V9 では修正されているものです。CSRF トークンが、Javascript に動的に保存されており、以下の Concrete CMS バージョンに該当します。
Concrete CMS Version 9 未満のサイトを運営している方は、Nginx や Apache の設定に、ヘッダーを一つ追加することで対策をしていただくことをお勧めします。
Cross-Origin-Resource-Policy を「same-origin」か「same-site」に設定してください。どちらかが最適かがわからない場合は、以下のドキュメントを参考にしてください。
https://developer.mozilla.org/ja/docs/Web/HTTP/Cross-Origin_Resource_Policy_(CORP)
Nginx の場合: location ブロックの中に
add_header Cross-Origin-Resource-Policy "same-origin";
Apache の場合 (.htaccess もしくは同等の場所で)
Header set Cross-Origin-Resource-Policy "same-origin"
Concrete CMS セキュリティチームは、CVSS 3.1 score of 4.8 AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N のスコアを与えました。
Solar Security Research Team からのレポートに感謝します。
以上