Concrete CMS 8.5.21 がリリースされました。
本ページは以下の原文を翻訳しています。
https://github.com/concretecms/concretecms/releases/tag/8.5.21
スタックのインポート時、まずスタックノードにスタックパスがあるかを確認し、なければスタック名で処理するようになりました(Thanks mlocati)
ブロックタイプで NULL のエクスポートに対応し、0 の扱いもより正確になりました(Thanks mlocati)
ログ処理に関する細かな調整をバージョン9からバックポート(Thanks SashaMcr)
削除済みブロックのエイリアスをエクスポートする際に発生していた不具合を修正(Thanks mlocati)
「エクスプレスエントリーリスト」ブロックをコピーしたときの getAreaHandle() 関数エラーを修正(バージョン9ですでに対応済の修正を反映)
Url::setVariable メソッドにサニタイズ処理を追加することで、XSS(クロスサイトスクリプティング)の脆弱性を修正しました。
悪意ある入力により、以下のリスクがありました:
セッションクッキーやトークンの窃取
Webコンテンツの改ざん
悪質なサイトへのリダイレクト
管理者権限を悪用した操作の実行
CVSS v4.0 スコア:4.8(中程度)
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
修正コミット:
v9 向け → commit 12643
v8 向け → commit 12646
セキュリティ調査および報告:Fortbridge