2017年5月9日
転載歓迎
concrete5.6.3.4 までのXSS脆弱性と修正パッチ配布 (JVNDB-2017-002513)
2017年4月18日に JVN で発表された concrete5.6.3.4 までの軽微な脆弱性についてのご報告と修正パッチ配布のお知らせです。
concrete5 コアチームでは、当脆弱性に深刻な影響は受けないとの見解のため、concrete5.6 系のマイナーバージョンアップのリリースなどは予定していません。
JVNの情報
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-002513.html
概要
対象: concret5.6.3.4 までの concrete5.6.x
種類: クロスサイトスクリプティング
JVNの深刻度: 警告 (注意 , 警告, 危険 の2段階目)
内容: ポップアップで表示されるファイル検索ダイアログで XSS の脆弱性。ファイルアップロード編集権限のある特定ユーザーのみに脆弱性が現れる。
concrete5 コアチームの見解では、管理権限のあるユーザーがログインをした上でリンクを踏まないといけないため、深刻度は低い。
修正パッチ
5.6.3.4 用パッチダウンロード (GitHub上のコミット)
- 添付の concrete5-legacy._1947.zip をダウンロード
- concrete5-legacy._1947.zip を解凍
- /concrete/tools/files ディレクトリ内に解凍した 「search_dialog.php」「selector_data.php」を上書きアップロード
- 管理画面 - システムと設定 - 最適化 - キャッシュをクリア よりキャッシュをクリア
心配な方や、カスタマイズで拡張している方など、心当たりある方は、上記手順でパッチ当てを行ってください。
掲示板
本件にご意見・質問のある方は、フォーラムの該当トピックなどでお問合わせ可能です。
お手数をおかけいたします。
以上