Concrete CMS 9.5.2 リリースノート

Concrete CMS 9.5.2 リリースノート
Concrete CMS 9.5.1 リリースノート
Concrete CMS 9.5.0 リリースノート
Concrete CMS 8.5.21 リリースノート
Concrete CMS 8.5.20 リリースノート
過去のver.9 リリース情報
過去のver.8 リリース情報
目次

Concrete CMS 9.5.2 がリリースされました。
本ページは以下の原文を翻訳・要約しています。
https://github.com/concretecms/concretecms/releases/tag/9.5.2

機能改善(Behavioral Improvements)

コンポーザーの属性選択画面を整理

  • コンポーザーの「フォームコントロール追加」ダイアログにおいて、ページ属性が属性セットごとにグループ化されて表示されるようになりました。

  • コンポーザーの「フォームコントロール追加」ダイアログにおいて、ページ属性が属性セットごとにグループ化されるようになりました。

バグ修正(Bug Fixes)

Advanced Bord テンプレートの修正

  • $summaryObject 変数を利用している Advanced Board テンプレートが再び正常に動作するようになりました。

カスタムテンプレートのフォールバック処理を復元

  • ブロックにカスタムテンプレートが設定されていても、そのテンプレートファイルが実際には存在しない場合、以前は何も表示されなくなっていました。
  • 今後は従来の動作と同様に、デフォルトテンプレートを表示するようになりました。

カレンダーイベント出力の修正

  • カレンダーイベントの日付出力内に不要な閉じアンカータグ (</a>) が出力される問題を修正しました。 (thanks danklassen)

 

  • $summaryObject 変数を使用する Advanced Board テンプレートが再び動作するようになりました。
  • ブロックがカスタムテンプレートを使用しているものの、そのテンプレートが実際にはファイルシステム上に存在しない場合の旧来の動作を復元しました。これまでは何も表示されませんでしたが、今後は従来どおりデフォルトビューが表示されます。
  • カレンダーイベントの日付出力において、場違いな位置に閉じアンカータグが出力されていた問題を修正しました。 (thanks danklassen)

開発者向け機能向上(Developer Updates)

  • on_package_test_for_uninstallon_before_package_uninstallon_after_package_uninstall イベントを追加しました。

セキュリティ修正(Security Fixes)

主な修正内容は以下のとおりです。
※ 技術的・詳細な内容は後述の開発者向けの内容をご覧ください。

 

CVE-2026-8140

Express Entry List ブロックのデシリアライズ脆弱性

特定条件下で悪意のあるシリアライズデータを注入でき、管理者がそのデータを閲覧または編集した際にリモートコード実行(RCE)につながる可能性がありました。

  • CVSS 8.9(High)
  • 報告: Nguyễn Văn Thiện
  • 修正: CVE-2026-8140

 

CVE-2026-8417

マーケットプレイスパッケージのダウンロード処理に CSRF 対策を追加

管理者が細工されたページを閲覧すると、意図しないパッケージのダウンロードを実行させられる可能性がありました。

  • CVSS 7.5
  • 報告: maru1009
  • 修正: CVE-2026-8417

 

CVE-2026-8421

パッケージアップデート処理の CSRF 脆弱性

管理者が意図しないパッケージアップデートを実行させられる可能性がありました。

  • CVSS 7.5
  • 報告: maru1009
  • 修正: CVE-2026-8421

 

CVE-2026-8426

install_package() の CSRF 脆弱性

パッケージインストール処理において CSRF 保護が不足していました。

  • CVSS 7.5
  • 報告: maru1009
  • 修正: CVE-2026-8426

 

その他の CSRF 修正

prepare_remote_upgrade 処理

  • /dashboard/extend/update/prepare_remote_upgrade/*

の処理に対して CSRF 保護が追加されました。 

 

PHP Object Injection 対策

unserialize() 実行時に allowed_classes を利用するよう修正し、PHP Object Injection のリスクを軽減しました。

対象:

  • Permission
  • Cache
  • Search
  • Workflow
  • Form ブロック
  • ファイル / ファイルセット

(thanks XananasX7)

 

依存ライブラリ更新

以下を含む依存ライブラリを更新しました。

  • twig/twig
  • symfony/yaml
  • その他関連ライブラリ

  • twig/twig、symfony/yaml などの依存ライブラリに存在する新たな脆弱性へ対応するため、サードパーティ Composer ライブラリを更新しました。
  • Permission、Cache、Search において、PHP Object Injection を防止するため unserialize()allowed_classes を追加しました。 (thanks XananasX7)
  • Workflow、Form ブロック、ファイル / ファイルセットにおいて、unserialize()allowed_classes を追加しました。 (thanks XananasX7)
  • Express Entry List ブロックにおける PHP Object Injection 脆弱性(CVE-2026-8140)を修正しました。
  • Marketplace パッケージダウンロード処理の CSRF 脆弱性(CVE-2026-8417)を修正しました。 (thanks maru1009)
  • Marketplace パッケージアップデート処理の CSRF 脆弱性(CVE-2026-8421)を修正しました。 (thanks maru1009)
  • install_package() の CSRF 脆弱性(CVE-2026-8426)を修正しました。 (thanks maru1009)
  • /dashboard/extend/update/prepare_remote_upgrade/* における CSRF 保護を追加しました。