Concrete CMS 9.3.3 リリース :: Concrete CMS マニュアルサイト

Concrete CMS 9.3.3 がリリースされました。
本ページは以下の原文を翻訳しています。
https://github.com/concretecms/concretecms/releases/tag/9.3.3

新機能

モバイルビューでサイトを編集する際に、ページを追加するボタンが追加されました。(thanks hissy)

機能改善

インストール速度の向上
管理画面のユーザー検索プリセットを表示してエクスポートすると、検索結果のユーザーだけが適切にエクスポートされるようになりました。(thanks SashaMcr)
モバイルデバイスでの編集時に、ダイアログやパネルが小さなスクリーンからはみ出さないようになりました。(thanks hissy)
HTTPSリクエストに対して自動的に "secure "クッキーを使用できるようになりました。(thanks mlocati)
書き込み可能なディレクトリのチェックに失敗した場合、インストール時に書き込み可能なディレクトリを所有する特定のユーザーを表示するようになりました (thanks mlocati)
Express Form ブロックでメールアドレスに email HTML 入力タイプを使用するようになり、より良いバリデーションが可能になりました (thanks bikerdave)
ハードコードされていた「1ページあたりのアイテム数」を、ファイル・セレクタで設定できるように変更しました（thanks SashaMcr）
修正: エンティティのリフレッシュ後にテキストフィールドのインデックスが削除されました。(thanks mlocati)
プリティURLを有効にするための推奨nginxルールを改善しました。(thanks mlocati)
Concrete Monolog Cascadeパッケージの名称を変更 (thanks bikerdave)
トップナビゲーションバーブロックの出力サニタイズの改善しました。(thanks hissy)
バージョン・スケジューリングのインターフェイスに説明を追加しました。（thanks KnollElias)

バグ修正

修正：モバイル編集メニューがバージョン9で機能していなかった (thanks hissy)
エラーを修正しました：リモート・アップデータがスローされます：「ディレクトリ %s は既に存在します。リモート・アップデータを実行しようとすると、"この項目は既にインストールされています。
古い特集テーマと特集アドオンの管理画面通知ブロックの文言を更新しました。
一部のサイトで、packages/ディレクトリに誤って不正なパッケージが含まれていた場合のエラーを修正しました。 (thanks mlocati)
修正：ページリストブロックのカスタムトピックが保存されない (thanks hissy)
修正：削除されたユーザーが作成したバージョンのカレンダーイベントを編集できない
SearchResult Healthエンティティの "length "ORMアノテーションの型を修正しました。(thanks mlocati)
言語を切り替えるためにSwitch Languageブロックを使用した際に起こりうるエラーを修正しました。(thanks biplobice)
Concreteサイトがマーケットプレイスの公開鍵と秘密鍵を持っていない場合に、マーケットプレイスにリンクしようとするエラーを修正しました (thanks pszostok)
修正：このページを共有する "印刷 "オプションが機能しない。
何度もページに追加すると、W3Cバリデーションからクレームが出る可能性があるため、X共有サービスのアイコンからIDを削除しました。(thanks quentinnorbert0)
Composer のインストールで、サードパーティライブラリ zircote/swagger-php が Concrete のインストールをブロックすることがあったエラーを修正しました。
非常に特殊な状況下で削除されるはずのバージョンブロックのエントリーが、データベースに残っていることに関連するエラーを修正しました。（thanks bleenders)
修正: 非常に特殊な状況下でユーザー属性を保存しようとするとエラーが発生しました。(thanks mnalalay)
修正：Board InstanceSlotRules に関連付けられたユーザーを削除する際の外部キー制約違反

開発者向けアップデート

翻訳ライブラリのパーサーをカスタマイズおよび拡張できるようになりました。(thanks mlocati)

セキュリティアップデート

バージョン 9 のcommit 12166 およびバージョン 8 の commit c08d9671cec4e7afdabb547339c4bc0bed8eab06 で RSS Displayer の CVE-2024-4350 Stored XSS を修正しました。修正前は、不正な管理者が入力検証の不十分なフィールドに悪意のあるコードを注入する可能性がありました。コンクリートCMSのセキュリティチームは、この脆弱性にCVSS v3.1スコア3.0（ベクトル：AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:N/A:N）、CVSS v4スコア2.1 (ベクトル： CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N) を与えました。 HackerOne 2479824 を報告してくれた m3dium に感謝します。
Generate Board Name Input Field commit 12151 の CVE-2024-4353 Stored XSS を修正しました。修正前は、名前入力フィールドは入力を十分にチェックしておらず、不正な管理者が悪意のあるJavaScriptコードを注入できるようになっていました。コンクリートCMSのセキュリティチームは、この脆弱性にCVSS v3.1スコア3.1（ベクター：AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:N)、CVSS v4スコア1.8 (ベクトル： CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N) バージョン 9 以下の具体的なバージョンはこの脆弱性の影響を受けません。HackerOne 2597394 を報告してくれた fhAnso に感謝します。
バージョン 9 のcommit 12166 およびバージョン 8 の commit c08d9671cec4e7afdabb547339c4bc0bed8eab06で、出力される Board インスタンス名をサニタイズすることにより、getAttributeSetName() の CVE-2024-7394 Stored XSS を修正しました。修正前は、不正な管理者が悪意のあるコードを注入する可能性がありました。コンクリートCMSチームは、これをCVSS v3.1ランク2（ベクトル：AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:N）、CVSS v4.0ランク1.8（ベクトル：CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N）としました。HackerOne 2463288を報告してくれたm3dium氏に感謝します。
commit #12151 でインスタンス名をサニタイズすることにより、BoardインスタンスにおけるCVE-2024-7512 Stored XSSを修正しました。修正前は、不正な管理者が悪意のあるコードを注入する可能性がありました。Concrete CMS セキュリティチームは、この脆弱性に CVSS 4.0 スコア 1.8 (ベクター：CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N)を与えました。バージョン9以下のバージョンは影響を受けません。HackerOne 2486344を報告してくれたm3dium氏に感謝します。
curlが投稿をロードできない場合、RSS Displayerブロックでより一般的なエラーメッセージを表示する。HackerOne 2479824でこれを推奨してくれたm3diumに感謝します。
Concrete v.9.3.3では、ログイン要求がデフォルトでhttpsを使用している場合、CONCRETEクッキーのSecureフラグが強制されるようになりました。これは業界のベストプラクティスに沿ったものです。サイトが http:// で提供され、ゲストが http:// を使用してログインする場合、CONCRETE クッキーには Secure フラグが適用されないため、サイトは使用可能です。このパッチはバージョン8にはきれいに適用できませんでしたが、Secureフラグの設定はダッシュボードで設定できます。これはコンフィギュレーション設定であるため、CVEは発行されません。HackerOne 2399192 を報告してくれた Yusuke Uchida 氏に感謝します。