Concrete CMS 9.3.3 リリース

Concrete CMS 9.3.3 がリリースされました。
本ページは以下の原文を翻訳しています。
https://github.com/concretecms/concretecms/releases/tag/9.3.3

新機能

  • モバイルビューでサイトを編集する際に、ページを追加するボタンが追加されました。(thanks hissy)

 

機能改善

  • インストール速度の向上
  • 管理画面のユーザー検索プリセットを表示してエクスポートすると、検索結果のユーザーだけが適切にエクスポートされるようになりました。(thanks SashaMcr)
  • モバイルデバイスでの編集時に、ダイアログやパネルが小さなスクリーンからはみ出さないようになりました。(thanks hissy)
  • HTTPSリクエストに対して自動的に "secure "クッキーを使用できるようになりました。(thanks mlocati)
  • 書き込み可能なディレクトリのチェックに失敗した場合、インストール時に書き込み可能なディレクトリを所有する特定のユーザーを表示するようになりました (thanks mlocati)
  • Express Form ブロックでメールアドレスに email HTML 入力タイプを使用するようになり、より良いバリデーションが可能になりました (thanks bikerdave)
  • ハードコードされていた「1ページあたりのアイテム数」を、ファイル・セレクタで設定できるように変更しました(thanks SashaMcr)
  • 修正: エンティティのリフレッシュ後にテキストフィールドのインデックスが削除されました。(thanks mlocati)
  • プリティURLを有効にするための推奨nginxルールを改善しました。(thanks mlocati)
  • Concrete Monolog Cascadeパッケージの名称を変更 (thanks bikerdave)
  • トップナビゲーションバーブロックの出力サニタイズの改善しました。(thanks hissy)
  • バージョン・スケジューリングのインターフェイスに説明を追加しました。(thanks KnollElias)

 

バグ修正

  • 修正:モバイル編集メニューがバージョン9で機能していなかった (thanks hissy)
  • エラーを修正しました:リモート・アップデータがスローされます:「ディレクトリ %s は既に存在します。リモート・アップデータを実行しようとすると、"この項目は既にインストールされています。
  • 古い特集テーマと特集アドオンの管理画面通知ブロックの文言を更新しました。
  • 一部のサイトで、packages/ディレクトリに誤って不正なパッケージが含まれていた場合のエラーを修正しました。 (thanks mlocati)
  • 修正:ページリストブロックのカスタムトピックが保存されない (thanks hissy)
  • 修正:削除されたユーザーが作成したバージョンのカレンダーイベントを編集できない
  • SearchResult Healthエンティティの "length "ORMアノテーションの型を修正しました。(thanks mlocati)
  • 言語を切り替えるためにSwitch Languageブロックを使用した際に起こりうるエラーを修正しました。(thanks biplobice)
  • Concreteサイトがマーケットプレイスの公開鍵と秘密鍵を持っていない場合に、マーケットプレイスにリンクしようとするエラーを修正しました (thanks pszostok)
  • 修正:このページを共有する "印刷 "オプションが機能しない。
  • 何度もページに追加すると、W3Cバリデーションからクレームが出る可能性があるため、X共有サービスのアイコンからIDを削除しました。(thanks quentinnorbert0)
  • Composer のインストールで、サードパーティライブラリ zircote/swagger-php が Concrete のインストールをブロックすることがあったエラーを修正しました。
  • 非常に特殊な状況下で削除されるはずのバージョンブロックのエントリーが、データベースに残っていることに関連するエラーを修正しました。(thanks bleenders)
  • 修正: 非常に特殊な状況下でユーザー属性を保存しようとするとエラーが発生しました。(thanks mnalalay)
  • 修正:Board InstanceSlotRules に関連付けられたユーザーを削除する際の外部キー制約違反

 

開発者向けアップデート

  • 翻訳ライブラリのパーサーをカスタマイズおよび拡張できるようになりました。(thanks mlocati)

 

セキュリティアップデート

  • バージョン 9 のcommit 12166 およびバージョン 8 の commit c08d9671cec4e7afdabb547339c4bc0bed8eab06 で RSS Displayer の CVE-2024-4350 Stored XSS を修正しました。修正前は、不正な管理者が入力検証の不十分なフィールドに悪意のあるコードを注入する可能性がありました。コンクリートCMSのセキュリティチームは、この脆弱性にCVSS v3.1スコア3.0(ベクトル:AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:N/A:N)、CVSS v4スコア2.1 (ベクトル: CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N) を与えました。 HackerOne 2479824 を報告してくれた m3dium に感謝します。
  • Generate Board Name Input Field commit 12151CVE-2024-4353 Stored XSS を修正しました。修正前は、名前入力フィールドは入力を十分にチェックしておらず、不正な管理者が悪意のあるJavaScriptコードを注入できるようになっていました。コンクリートCMSのセキュリティチームは、この脆弱性にCVSS v3.1スコア3.1(ベクター:AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:N)、CVSS v4スコア1.8 (ベクトル: CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N) バージョン 9 以下の具体的なバージョンはこの脆弱性の影響を受けません。HackerOne 2597394 を報告してくれた fhAnso に感謝します。
  • バージョン 9 のcommit 12166 およびバージョン 8 の commit c08d9671cec4e7afdabb547339c4bc0bed8eab06で、出力される Board インスタンス名をサニタイズすることにより、getAttributeSetName() の CVE-2024-7394 Stored XSS を修正しました。修正前は、不正な管理者が悪意のあるコードを注入する可能性がありました。コンクリートCMSチームは、これをCVSS v3.1ランク2(ベクトル:AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:N)、CVSS v4.0ランク1.8(ベクトル:CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N)としました。HackerOne 2463288を報告してくれたm3dium氏に感謝します。
  • commit #12151 でインスタンス名をサニタイズすることにより、BoardインスタンスにおけるCVE-2024-7512 Stored XSSを修正しました。修正前は、不正な管理者が悪意のあるコードを注入する可能性がありました。Concrete CMS セキュリティチームは、この脆弱性に CVSS 4.0 スコア 1.8 (ベクター:CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N)を与えました。バージョン9以下のバージョンは影響を受けません。HackerOne 2486344を報告してくれたm3dium氏に感謝します。
  • curlが投稿をロードできない場合、RSS Displayerブロックでより一般的なエラーメッセージを表示する。HackerOne 2479824でこれを推奨してくれたm3diumに感謝します。
  • Concrete v.9.3.3では、ログイン要求がデフォルトでhttpsを使用している場合、CONCRETEクッキーのSecureフラグが強制されるようになりました。これは業界のベストプラクティスに沿ったものです。サイトが http:// で提供され、ゲストが http:// を使用してログインする場合、CONCRETE クッキーには Secure フラグが適用されないため、サイトは使用可能です。このパッチはバージョン8にはきれいに適用できませんでしたが、Secureフラグの設定はダッシュボードで設定できます。これはコンフィギュレーション設定であるため、CVEは発行されません。HackerOne 2399192 を報告してくれた Yusuke Uchida 氏に感謝します。