Concrete CMS 9.4.8 リリースノート

Concrete CMS 9.4.8 リリースノート
Concrete CMS 9.4.7 リリースノート
Concrete CMS 9.4.6 リリースノート
Concrete CMS 8.5.21 リリースノート
Concrete CMS 8.5.20 リリースノート
過去のver.9 リリース情報
過去のver.8 リリース情報
目次

Concrete CMS 9.4.8 がリリースされました。
本ページは以下の原文を翻訳・要約しています。
https://github.com/concretecms/concretecms/releases/tag/9.4.8

 

機能改善(Behavioral Improvements)

 

  • 権限(Permission)の割り当てが大量にあるサイトでのパフォーマンスを改善しました。

 

 

セキュリティアップデート(Security Updates)

 

  • ブロック設定フィールドに保存された攻撃者制御のシリアライズデータが、制限や整合性チェックなしに unserialize() に渡され、リモートコード実行につながる恐れがある問題を修正しました( CVE-2026-3452)。 本件は、columns / filterFields を空の状態から開始する修正( commit 1286)により対応されています。
    CVSS v4.0: 8.9(CVSS:4.0/AV:N/AC:H/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)。
    Thanks YJK of ZUSO ART for reporting H1 3549050.
  • 検索ブロックにおける保存型XSSの問題( CVE-2026-3244)を commit 12826 で修正しました。(H1 3542571)。Thanks zolpak for reporting HackerOne 3542571.
  • Switch Language ブロックにおける保存型XSSの問題( CVE-2026-3242)を commit 12826 で修正しました。(H1 3451125)。Thanks Phí văn Thiện (thienphi1480) for reporting HackerOne 3451125.
  • レガシーフォーム(Legacy Form)ブロックの選択肢(チェックボックス/ラジオ/セレクト)における保存型XSSの問題( CVE-2026-3241)を commit 12826 で修正しました。(H1 3456482)。Thanks Phí văn Thiện (thienphi1480) for reporting H1 3456482.
  • レガシーフォーム(Legacy Form)要素の Question フィールドにおける保存型XSSの問題( CVE-2026-3240)を commit 12826 で修正しました。(H1 3451114)。Thanks minhnn42, namdi, and quanlna2 from VCSLab-Viettel Cyber Security for reporting H1 3451114.
  • Anti-Spam Allowlist のグループ設定において、group_id の変更保存前に CSRF トークン検証が確実に行われるよう commit 12826 で修正しました( CVE-2026-2994)(H1 3437650)。Thanks z3rco for reporting H1 3437650.

※ 原文の注記どおり、上記のセキュリティ修正は Concrete CMS v9 のみが対象で、v8 には修正提供がありません