Concrete CMS 9.3.4 リリース

Concrete CMS 9.3.4 がリリースされました。
本ページは以下の原文を翻訳しています。
https://github.com/concretecms/concretecms/releases/tag/9.3.4

 

新機能

  • 詳細なページ検索にキャッシュ設定でページを検索する機能を追加しました。(thanks SashaMcr)

機能改善

  • ソーシャルリンクにDiscordを追加しました (thanks RLHawk1)
  • 新しいAPI統合を追加する際、リダイレクトURLが必要になりました。(thanks mlocati)
  • 保存時にカノニカル URLが検証されるようになりました。(thanks hissy)

バグ修正

  • 管理画面のスタックページのブロック追加ダイアログで、Concrete をstrict モードで実行した際のエラーを修正しました。(thanks mlocati)
  • ユーザーに割り当てるグループとして、「ゲスト」や「登録ユーザー」を選択することができなくなりました(本来はできなかったはずです)。
  • Concreteがサブディレクトリにインストールされている場合、カノニカルURLにサブディレクトリへのパスが含まれないことがあった問題を修正しました (thanks biplobice)
  • 修正:エクスプレス一覧 をフィルタリングするためにトピックを選択すると、以前に選択されたトピックが残る (thanks hissy)
  • c5:package:install CLIコマンド: インストールオプションをインストールメソッドに渡す (thanks mlocati)

開発者向けアップデート

  • トップナビゲーションバーはBedrock以外のテーマでもうまく動作するようになりました。(thanks RLHawk1)
  • コアから非推奨のCore::make()コードをいくつか削除しました。
  • c5:package:packコマンドを拡張し、Zipファイル名を必要とせずに柔軟な出力パスを指定できるようにしました。

セキュリティアップデート

  • バージョン8 のコミットdbce253166f6b10ff3e0c09e50fd395370b8b065およびバージョン9のコミット12183で、ファイルサムネイルダッシュボードシングルページの""Save Background Image Colour""の出力をサニタイズすることで、イメージエディタ背景色のCVE-2024-8291 Stored XSSを修正しました。 Concrete CMS Security Teamは、この問題をCVSS v4スコア2.1、ベクトルCVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:Nに修正しました。修正前は、不正な管理者がサムネイル/追加タイプに悪意のあるコードを追加する可能性がありました。HackerOne 921527を報告してくれたAlexey Solovyev氏に感謝します。
  • バージョン 8 のコミット 7c8ed0d1d9db0d7f6df7fa066e0858ea618451a5、バージョン 9 のコミット 12183 および 12184 で、カレンダーイベント追加機能における CVE-2024-7398 Stored XSS 脆弱性を修正しました。Concrete CMS Security Team は、この脆弱性に CVSS v4 スコア 1.8 を与え、ベクター VSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:N/VI:N/VA:N/SC:L/SI:N/SA:Nに修正しました。 修正前は、カレンダーのイベント名が出力時にサニタイズされていませんでした。イベントカレンダーを作成する権限を持つユーザーまたはグループはスクリプトを埋め込むことができ、イベントカレンダーを変更する権限を持つユーザーまたはグループはスクリプトを実行することができました。HackerOne 2400810を報告してくれたYusuke Uchida氏に感謝します。
  • コミット 12128 で、"Top Navigator Bar" ブロックの CVE-2024-8660 Stored XSS を修正しました。Concrete CMS Security Team は、この脆弱性に CVSS v4 スコア 4.6 を与え、ベクターは CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:Nに修正しました。 修正前は、不正な管理者が悪意のあるペイロードを追加する可能性がありました。トップナビゲーターバー」の出力が十分にサニタイズされていなかったため、標的となるユーザーがホームページにアクセスすると、このペイロードが実行される可能性がありました。なお、Versons 9以下には「トップナビゲーションバー」ブロックがないため、この問題は発生しません。HackerOne 2610205 を報告してくれた Chu Quoc Khanh 氏に感謝します。
  • バージョン9のコミット12204およびバージョン8のコミットce5ee2ab83fe8de6fa012dd51c5a1dde05cb0dc4で 「次へ」「前へ」ナビブロックのCVE-2024-8661 Stored XSSを修正しました。Concrete CMS Security Teamは、この脆弱性にCVSS v4スコア4.6(ベクトルCVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N)を与えました。修正前は、不正な管理者が悪意のあるペイロードを追加する可能性がありました。「次へ」「前へ」ナビブロックの出力が十分にサニタイズされていなかったため、悪意のあるペイロードが標的となったユーザーのブラウザで実行される可能性がありました。HackerOne 2610205 を報告してくれた Chu Quoc Khanh 氏に感謝します。