Concrete CMS 8.5.19 リリース

Concrete CMS 9.3.4 リリース
Concrete CMS 8.5.19 リリース
Concrete CMS 9.3.3 リリース
Concrete CMS 8.5.18 リリース
Concrete CMS 9.3.2 リリース
Concrete CMS 9.3.1 リリース
Concrete CMS 9.3.0 リリース
Concrete CMS 9.2.9 リリース
Concrete CMS 8.5.17 リリース

Concrete CMS 8.5.19 がリリースされました。
本ページは以下の原文を翻訳しています。
https://github.com/concretecms/concretecms/releases/tag/8.5.19

 

セキュリティアップデート

  • ver.8 のコミットdbce253166f6b10ff3e0c09e50fd395370b8b065およびver.9のコミット12183で、ファイルサムネイルダッシュボードシングルページの"Save Background Image Colour"の出力をサニタイズすることで、イメージエディタ背景色のCVE-2024-8291 Stored XSSを修正しました。 Concrete CMS Security Teamは、この問題をCVSS v4スコア2.1、ベクトルCVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:Nに修正しました。修正前は、不正な管理者がサムネイル/追加タイプに悪意のあるコードを追加する可能性がありました。HackerOne 921527を報告してくれたAlexey Solovyev氏に感謝します。
  • バージョン 8 のコミット 7c8ed0d1d9db0d7f6df7fa066e0858ea618451a5、バージョン 9 のコミット 12183 および 12184 で、カレンダーイベント追加機能における CVE-2024-7398 Stored XSS 脆弱性を修正しました。Concrete CMS Security Team は、この脆弱性に CVSS v4 スコア 1.8 を与え、ベクター VSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:N/VI:N/VA:N/SC:L/SI:N/SA:Nに修正しました。 修正前は、カレンダーのイベント名が出力時にサニタイズされていませんでした。イベントカレンダーを作成する権限を持つユーザーまたはグループはスクリプトを埋め込むことができ、イベントカレンダーを変更する権限を持つユーザーまたはグループはスクリプトを実行することができました。HackerOne 2400810を報告してくれたYusuke Uchida氏に感謝します。
  • バージョン9のコミット12204およびバージョン8のコミットce5ee2ab83fe8de6fa012dd51c5a1dde05cb0dc4で 「次へ」「前へ」ナビブロックのCVE-2024-8661 Stored XSSを修正しました。Concrete CMS Security Teamは、この脆弱性にCVSS v4スコア4.6(ベクトルCVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N)を与えました。修正前は、不正な管理者が悪意のあるペイロードを追加する可能性がありました。「次へ」「前へ」ナビブロックの出力が十分にサニタイズされていなかったため、悪意のあるペイロードが標的となったユーザーのブラウザで実行される可能性がありました。HackerOne 2610205 を報告してくれた Chu Quoc Khanh 氏に感謝します。