Search results

用語集、よくある質問などはこちら:用語集FAQ

Concrete CMS 9.5.2 リリースノート

Concrete CMS 9.5.2 がリリースされました。 本ページは以下の原文を翻訳・要約しています。 https://github.com/concretecms/concretecms/releases/tag/9.5.2 機能改善(Behavioral Improvements) ユーザー向け コンポーザーの属性選択画面を整理 コンポーザーの「フォームコントロール追加」ダイアログにおいて、ページ属性が属性セットごとにグループ化されて表示されるようになりました。 開発者向け コンポーザーの「フォームコントロール追加」ダイアログにおいて、ページ属性が属性セットごとにグループ化されるようになりました。 バグ修正(Bug Fixes) ユーザー向け Advanced Bord テンプレートの修正 $summaryObject 変数を利用している Advanced Board テンプレートが再び正常に動作するようになりました。 カスタムテンプレートのフォールバック処理を復元 ブロックにカスタムテンプレートが設定されていても、そのテンプレートファイルが実際には存在しない場合、以前は何も表示されなくなっていました。 今後は従来の動作と同様に、デフォルトテンプレートを表示するようになりました。 カレンダーイベント出力の修正 カレンダーイベントの日付出力内に不要な閉じアンカータグ (</a>) が出力される問題を修正しました。 (thanks danklassen) 開発者向け $summaryObject 変数を使用する Advanced Board テンプレートが再び動作するようになりました。 ブロックがカスタムテンプレートを使用しているものの、そのテンプレートが実際にはファイルシステム上に存在しない場合の旧来の動作を復元しました。これまでは何も表示されませんでしたが、今後は従来どおりデフォルトビューが表示されます。 カレンダーイベントの日付出力において、場違いな位置に閉じアンカータグが出力されていた問題を修正しました。 (thanks danklassen) 開発者向け機能向上(Developer Updates) 開発者向け on_package_test_for_uninstall、on_before_package_uninstall、on_after_package_uninstall イベントを追加しました。 セキュリティ修正(Security Fixes) ユーザー向け 主な修正内容は以下のとおりです。 ※ 技術的・詳細な内容は後述の開発者向けの内容をご覧ください。 CVE-2026-8140 Express Entry List ブロックのデシリアライズ脆弱性 特定条件下で悪意のあるシリアライズデータを注入でき、管理者がそのデータを閲覧または編集した際にリモートコード実行(RCE)につながる可能性がありました。 CVSS 8.9(High) 報告: Nguyễn Văn Thiện 修正: CVE-2026-8140 CVE-2026-8417 マーケットプレイスパッケージのダウンロード処理に CSRF 対策を追加 管理者が細工されたページを閲覧すると、意図しないパッケージのダウンロードを実行させられる可能性がありました。 CVSS 7.5 報告: maru1009 修正: CVE-2026-8417 CVE-2026-8421 パッケージアップデート処理の CSRF 脆弱性 管理者が意図しないパッケージアップデートを実行させられる可能性がありました。 CVSS 7.5 報告: maru1009 修正: CVE-2026-8421 CVE-2026-8426 install_package() の CSRF 脆弱性 パッケージインストール処理において CSRF 保護が不足していました。 CVSS 7.5 報告: maru1009 修正: CVE-2026-8426 その他の CSRF 修正 prepare_remote_upgrade 処理 /dashboard/extend/update/prepare_remote_upgrade/* の処理に対して CSRF 保護が追加されました。 PHP Object Injection 対策 unserialize() 実行時に allowed_classes を利用するよう修正し、PHP Object Injection のリスクを軽減しました。 対象: Permission Cache Search Workflow Form ブロック ファイル / ファイルセット (thanks XananasX7) 依存ライブラリ更新 以下を含む依存ライブラリを更新しました。 twig/twig symfony/yaml その他関連ライブラリ 開発者向け twig/twig、symfony/yaml などの依存ライブラリに存在する新たな脆弱性へ対応するため、サードパーティ Composer ライブラリを更新しました。 Permission、Cache、Search において、PHP Object Injection を防止するため unserialize() に allowed_classes を追加しました。 (thanks XananasX7) Workflow、Form ブロック、ファイル / ファイルセットにおいて、unserialize() に allowed_classes を追加しました。 (thanks XananasX7) Express Entry List ブロックにおける PHP Object Injection 脆弱性(CVE-2026-8140)を修正しました。 Marketplace パッケージダウンロード処理の CSRF 脆弱性(CVE-2026-8417)を修正しました。 (thanks maru1009) Marketplace パッケージアップデート処理の CSRF 脆弱性(CVE-2026-8421)を修正しました。 (thanks maru1009) install_package() の CSRF 脆弱性(CVE-2026-8426)を修正しました。 (thanks maru1009) /dashboard/extend/update/prepare_remote_upgrade/* における CSRF 保護を追加しました。
https://concretecms-help.macareux.co.jp/release/concrete-cms-952

Concrete CMS 9.5.1 リリースノート

Concrete CMS 9.5.1 がリリースされました。 本ページは以下の原文を翻訳・要約しています。 https://github.com/concretecms/concretecms/releases/tag/9.5.1 機能改善(Behavioral Improvements) ユーザー向け 管理画面・ページ管理に関する改善 管理画面ページなどのシステムページを、移動・コピーできないようになりました。 アンケートに関する改善 匿名アンケートで、Cookie に加えて IP アドレスも確認し、投票済みかどうかを判定するようになりました。 エクスプレスに関する改善 エクスプレス一覧 / 詳細 ブロックで、連番ID ではなく公開識別子を使用するようになりました。 これにより、エントリーID の推測による情報参照リスクが軽減されます。 表示文言に関する改善 CKEditor のダイアログ内に表示される "サーバブラウザ" が "ファイルを選択" に変更されました。 表示・操作性に関する改善 ヒーロー画像ブロックにおいて、スライダー変更時に高さ設定が即時反映されるようになりました。 補足 本バージョンでは、管理画面のご操作帽子、アンケートやエクスプレスの安全性向上など、運用時の安全性に関わる改善が中心となっています。 開発者向け Composer 管理下でインストールされたサイトやアドオンに対して、管理画面からのアップデートを禁止しました。 ドキュメントライブラリ ブロックのパフォーマンスを改善しました。 システムページの移動およびコピーを禁止しました。 エクスプレス一覧 / 詳細ブロックで、連番 ID の代わりに公開識別子を使用するよう変更しました。 CKEditor ダイアログ内の “Browse Server” 表記を “Select File” に変更しました。 匿名アンケートで、IP アドレスによる重複投票検知を追加しました。 公開 URL の検証および安全な Guzzle リクエスト生成用ユーティリティを追加しました。 バグ修正(Bug Fixes) ユーザー向け レイアウト操作に関する修正 レイアウト削除時の確認メッセージで、実際の挙動と文言が一致していない問題が修正されました。 開発者向け Twig カスタムテンプレートがカスタムテンプレート選択 UI に表示されない問題を修正しました。(thanks mlocati) エクスプレスフォーム の属性が通知メールに含まれない問題を修正しました。 Symfony Mailer 互換性向上のため、SMTP の STARTTLS/TLS 処理を改善しました。(thanks mlocati) 「パスワードを忘れました」リンクの動作を修正しました。 会話ブロックの JavaScript 描画処理を修正しました。 ページ属性表示ブロックの問題を修正しました。 コピーした外部リンクが誤ってエイリアス扱いになる問題を修正しました。 Concrete CMS 5.7 から 9.5.1 へのアップグレード時に発生する問題を修正しました。(thanks mlocati) Summary Template Driver の権限処理に関する問題を修正しました。 レイアウト削除確認メッセージの文言と実際の挙動が一致していない問題を修正しました。 後方互換性に関する注意 (Backward Compatibility Notes) 管理者・運用者向け 一部のサーバー環境では、メール送信設定の見直しが必要になる場合があります。 特に、サーバー側で proc_open が無効化されている場合、ローカル sendmail を使ったメール送信が正常に動作しない可能性があります。 該当する場合は、SMTP サーバーを使ったメール送信設定への切り替えが推奨されています。(thanks mlocati) 開発者向け Concrete CMS 9.5.0 で Symfony Mailer に移行された影響により、proc_open が無効化されているサーバー環境では、ローカル sendmail を利用したメール送信に問題が発生する場合があります。該当環境では、SMTP サーバーを利用したメール送信設定が推奨されています。(thanks mlocati) 独自の Summary Template Driver 実装で AbstractDriver を継承していない場合、カスタム summary template のレンダリング時にエラーが発生する可能性があります。 該当する実装では、canViewRenderedSummaryTemplates 権限チェックへの対応が必要です。 セキュリティ修正(Security Fixes) ユーザー向け 本バージョンでは、多数のセキュリティ修正が含まれています。 特に以下の機能を利用しているサイトでは、アップデートの優先度が高めとなっています。 エクスプレス ファイルマネージャー 会話機能 カレンダー アンケート OAuth マーケットプレイス / パッケージ管理 レガシーフォーム サマリーテンプレート 主な修正内容は以下のとおりです。 ※ 技術的・詳細な内容は後述の開発者向けの内容をご覧ください。 管理者権限を悪用したリモートコード実行対策 コンポーザー フォームレイアウト のカスタムテンプレート保存処理で、パストラバーサルが適切に除去されない問題が修正されました。 エクスプレス一覧 ブロックで、安全ではないデシリアライズによりリモートコード実行につながる可能性がある問題が修正されました。 権限チェック・情報漏えいに関する修正 ファイルの利用状況、会話メッセージ、カレンダーイベント、エクスプレスエントリーなどで、権限のないユーザーが情報を取得できる可能性がある問題が修正されました。 CSRF・不正操作に関する修正 マーケットプレイス連携、パッケージ操作、ファイル削除などで、CSRF 対策が不十分な箇所が修正されました。 XSS に関する修正 レガシーフォームや一部の表示処理で、細工されたURLや入力値によりスクリプトが実行される可能性がある問題が修正されました。 開発者向け 一部の JavaScript 依存ライブラリを更新し、上流ライブラリ側のセキュリティ問題に対応しました。 CVE-2026-8134 を修正しました。 ページタイプの Composer フォームレイアウト保存時、ptComposerFormLayoutSetControlCustomTemplate フィールドでパストラバーサル文字列が適切にサニタイズされない問題がありました。 Composer フォーム編集権限を持つ不正な管理者により、サーバー上の任意の読み取り可能なファイルが読み込まれる可能性がありました。 ファイルアップローダーの拡張子のみの検証と組み合わせることで、認証済みリモートコード実行につながる可能性があります。 CVSS v4.0 スコアは 9.4 です。 CVE-2026-8135 を修正しました。 ExpressEntryList ブロックコントローラーの安全でないデシリアライズにより、リモートコード実行につながる可能性がありました。 エリアにブロックを追加できる不正な管理者が、REST API 経由で _fromCIF === true の保護を回避し、悪意あるシリアライズ済みペイロードを filterFields カラムに注入できる可能性がありました。 CVSS v4.0 スコアは 8.9 です。 CVE-2026-8140 を修正しました。 /dashboard/extend/install/download/<remoteId> へのリクエスト処理時に CSRF トークンが検証されない問題がありました。 Marketplace に接続されたサイトでは、攻撃者が認証済み管理者に細工したページを開かせることで、任意の Marketplace パッケージをサーバーへダウンロードさせられる可能性がありました。 CVSS v4.0 スコアは 7.5 です。 CVE-2026-8417 を修正しました。 /dashboard/extend/update/do_update/<pkgHandle> で CSRF トークンが検証されず、認証済み管理者にパッケージ更新を実行させられる可能性がありました。 CVSS v4.0 スコアは 7.5 です。 CVE-2026-8421 を修正しました。 concrete/controllers/single_page/dashboard/extend/install.php の install_package() メソッドに CSRF 脆弱性がありました。 攻撃者が DIR_PACKAGES/<handle>/ 配下にパッケージを配置できる場合、認証済み管理者にそのパッケージをインストールさせ、リモートコード実行につながる可能性がありました。 CVSS v4.0 スコアは 7.5 です。 CVE-2026-8426 を修正しました。 /dashboard/extend/update/prepare_remote_upgrade/<remoteMPID> で CSRF トークンが検証されない問題がありました。 Marketplace 接続済みサイトで、攻撃者が対象 Marketplace アイテムIDに対応するリモートパッケージを制御できる場合、パッケージの PHP ファイルを上書きし、upgrade() メソッドを実行させられる可能性がありました。 CVSS v4.0 スコアは 7.5 です。 CVE-2026-8428 を修正しました。 管理画面のアップデート処理で CSRF トークンが表示されているにもかかわらず、do_update() メソッド側で検証されない問題がありました。 攻撃者が細工した POST リクエストにより、認証済み管理者にコア CMS アップデートを実行させる可能性がありました。 CVSS v4.0 スコアは 7.5 です。 CVE-2026-8350 を修正しました。 bulk_user_assignment.php に認可チェック不足があり、管理者グループへの権限昇格につながる可能性がありました。 該当する管理画面ページにアクセスできる認証済みユーザーが、任意のメールアドレスを任意のグループに追加したり、正規管理者を削除したりできる可能性がありました。 CVSS v4.0 スコアは 7.5 です。 CVE-2026-8197 を修正しました。 OAuth 連携名を経由した Stored XSS の問題がありました。 OAuth 認可テンプレートが連携名を t() 翻訳ヘルパー経由で出力する際、HTML として扱われる可能性がありました。 CVSS v4.0 スコアは 7.3 です。 CVE-2026-8203 を修正しました。 height パラメーターに対する Stored XSS の問題がありました。 編集権限を持つユーザーが悪意ある JavaScript を注入し、訪問者のブラウザー上で実行させる可能性がありました。 CVSS v4.0 スコアは 7.3 です。 CVE-2026-6826 を修正しました。 ファイル利用状況コントローラーの権限チェック不足により、未認証ユーザーが /ccm/system/dialogs/file/usage/{fID} にアクセスし、ファイルを参照しているページID、ハンドル、URLなどを取得できる可能性がありました。 CVSS v4.0 スコアは 6.9 です。 CVE-2026-8204 を修正しました。 カレンダーイベントのフロントエンドダイアログに認可バイパスがあり、公開カレンダーブロックを起点として非公開カレンダーデータへアクセスできる可能性がありました。 CVSS v4.0 スコアは 6.3 です。 CVE-2026-8205 を修正しました。 カレンダーブロックの action_get_events がカレンダーの canView 権限を確認しておらず、制限されたイベント詳細が漏えいする可能性がありました。 CVSS v4.0 スコアは 6.3 です。 CVE-2026-8236 を修正しました。 /ccm/system/dialogs/file/usage/{fID} に IDOR と認証チェック不足があり、未認証ユーザーが内部サイト構造データを取得できる可能性がありました。 CVSS v4.0 スコアは 6.3 です。 CVE-2026-8237 を修正しました。 /ccm/frontend/conversations/message_detail に IDOR があり、未認証ユーザーが任意の会話メッセージ本文、添付ファイル、ダウンロードURLなどを取得できる可能性がありました。 CVSS v4.0 スコアは 6.3 です。 CVE-2026-8238 を修正しました。 /ccm/frontend/conversations/message_page に IDOR があり、未認証ユーザーが会話メッセージの内容を列挙・取得できる可能性がありました。 CVSS v4.0 スコアは 6.3 です。 CVE-2026-8239 を修正しました。 /ccm/frontend/conversations/get_rating に IDOR があり、任意のメッセージIDの存在確認および評価スコア取得ができる可能性がありました。 CVSS v4.0 スコアは 6.3 です。 CVE-2026-7879 を修正しました。 concrete/controllers/single_page/download_file.php の submit_password() メソッドで、権限付きファイルのダウンロード時に view_file 権限チェックが回避される問題がありました。 CVSS v4.0 スコアは 6.3 です。 CVE-2026-7881 を修正しました。 エクスプレス Entry Detail ブロックの exEntryID パラメーターに IDOR があり、エクスプレスフォーム送信内容へ不正にアクセスできる可能性がありました。 CVSS v4.0 スコアは 6.3 です。 CVE-2026-8240 を修正しました。 Summary Template が設定されたページで、未認証ユーザーが非公開ページ、下書きページ、制限ページの存在や、タイトル、パス、説明、作成者情報などのメタデータを取得できる可能性がありました。 CVSS v4.0 スコアは 6.3 です。 CVE-2026-8337 を修正しました。 Survey に IDOR があり、公開アンケートのエンドポイントに制限付きアンケートの optionID を送信することで、未認証ユーザーが制限付きアンケートへ投票できる可能性がありました。 CVSS v4.0 スコアは 6.3 です。 CVE-2026-8245 を修正しました。 Legacy Pagination に HTML 属性インジェクションによる Reflected XSS がありました。 /dashboard/reports/forms/legacy にアクセスできる管理者またはレポート閲覧者が細工された URL を開くことで、セッション内でペイロードが実行される可能性がありました。 CVSS v4.0 スコアは 6.0 です。 CVE-2026-8327 を修正しました。 ユーザープロフィール編集コントローラーで POST データのホワイトリスト化が不十分で、現在のパスワード確認なしにパスワード変更が可能になる問題がありました。 また、セッションハイジャック検出のためのユーザー単位 IP 固定設定を登録ユーザーが無効化できる可能性がありました。 CVSS v4.0 スコアは 5.3 です。 CVE-2026-7882 を修正しました。 DeleteFile コントローラーで CSRF トークンチェックが逆転しており、有効なトークンでエラーになり、無効または欠落したトークンで削除処理が進む問題がありました。 これにより、会話メッセージ編集権限を持つユーザーに対する CSRF 攻撃でファイル削除が可能になる恐れがありました。 CVSS v4.0 スコアは 2.3 です。 CVE-2026-7886 を修正しました。 AddMessage / UpdateMessage の attachments[] パラメーターに IDOR があり、ファイル権限バイパスにつながる可能性がありました。 会話に投稿できるユーザーが、CMS ファイルマネージャー内の任意のファイルIDを添付ファイルとして参照できる可能性がありました。 CVSS v4.0 スコアは 2.3 です。 CVE-2026-7887 を修正しました。 OAuth 2.0 Authorization-Code Handler がアカウント状態チェックを回避しており、uIsActive=0 の無効化ユーザーでも OAuth 経由で認証し、有効な API トークンを取得できる可能性がありました。 CVSS v4.0 スコアは 2.3 です。 CVE-2026-8340 を修正しました。 Backend\File::approveVersion に CSRF があり、edit_file_contents 権限を持つユーザーに対して、攻撃者が選択した既存アップロード済みバージョンを公開させる可能性がありました。 CVSS v4.0 スコアは 2.3 です。 CVE-2026-8347 を修正しました。 エクスプレス関連付けの並び替えダイアログに、IDOR と誤った認可レベルの問題がありました。 エクスプレスを利用し、エンティティの並び順に依存しているサイトが影響を受ける可能性があります。 CVSS v4.0 スコアは 2.3 です。 以下の CSRF 脆弱性を修正しました。これらの CVSS v4.0 スコアは 2.3 です。 CVE-2026-8409: concrete/controllers/dialog/logs/delete CVE-2026-8410: concrete/controllers/dialog/logs/bulk/delete CVE-2026-8411: concrete/controllers/dialog/page/bulk/delete CVE-2026-8412: concrete/controllers/dialog/page/bulk/cache CVE-2026-8413: concrete/controllers/dialog/page/bulk/design CVE-2026-8414: concrete/controllers/dialog/event/duplicate CVE-2026-8415: concrete/controllers/dialog/express/association/reorder CVE-2026-8416: concrete/controllers/backend/file の addFavoriteFolder($id) CVE-2026-8427: concrete/controllers/backend/file の removeFavoriteFolder($id) CVE-2026-8432: concrete/controllers/backend/file の star() CVE-2026-8433: concrete/controllers/backend/file の rescan() CVE-2026-8434: concrete/controllers/backend/file の rescanMultiple() CVE-2026-8435: concrete/controllers/backend/file の approveVersion() CVE-2026-7890 を修正しました。 RSS Displayer ブロックがページ編集者から任意のフィードURLを受け取り、サーバー側で検証せず取得していたため、内部向けURLへのリダイレクトを悪用できる可能性がありました。 CVSS v4.0 スコアは 2.1 です。 CVE-2026-8353 を修正しました。 コレクション名の出力をサニタイズすることで対応しました。 修正前は、Atomik テーマにおいてページ名を経由した Stored XSS が可能で、不正な編集者が任意の JavaScript を注入できる可能性がありました。 CVSS v4.0 スコアは 2.1 です。 CVE-2026-8139 を修正しました。 外部リンクページの cvName を経由した Stored XSS の問題がありました。 updateCollectionAliasExternal がサニタイズを回避していたことが原因です。 CVSS v4.0 スコアは 2.0 です。
https://concretecms-help.macareux.co.jp/release/concrete-cms-951

Concrete CMS 9.5.0 リリースノート

Concrete CMS 9.5.0 がリリースされました。 本ページは以下の原文を翻訳・要約しています。 https://github.com/concretecms/concretecms/releases/tag/9.5.0 新機能(New Features) 開発者向け ブロックビュー、ページテンプレート、シングルページなどで Twig テンプレート言語をサポートしました。 機能改善(Behavioral Improvements) ユーザー向け ログインに関する改善 ログインが必要なページにアクセスした場合、ログイン後に元のページへ戻るよう改善されました。 SEO・URLに関する改善 検索ブロックにおいて、ページネーション用パラメーターが canonical URL に含まれないようになりました。 ページリストブロックにおいて、ページネーション用パラメーターを canonical URL に含めるかどうかを設定できるようになりました。 表示パフォーマンスに関する改善 コアブロックのキャッシュ処理が見直され、より多くのケースでキャッシュが利用されるようになりました。 管理・運用に関する改善 ログをファイルとして保存している場合、管理画面のログページでその旨が表示されるようになりました。 ローカルに更新ファイルが存在する場合、管理画面で通知されるようになりました。 表示・操作性に関する改善 ヒーロー画像ブロックにおいて、スライダー変更時に高さ設定が即時反映されるようになりました。 補足 本バージョンでは、ログイン動線やURLの扱い、表示パフォーマンスなど、日常的な利用に関わる細かな改善が中心となっています。 開発者向け 更新ファイルがローカルに存在する場合、ユーザーに通知するようになりました。Composer で Concrete CMS のアップグレードを管理している場合などが想定されています。また、この設定が有効な場合、管理者はアップデーターを使用できなくなりました。(Thanks mlocati) Hero Image ブロックで、スライダー変更時に高さ設定が即時反映されるようになりました。(Thanks mehl) ログをデータベースではなくファイルに保存する設定の場合、管理画面のログページで管理者に通知するようになりました。(Thanks ounziw) 検索ブロックが出力する canonical URL に、ccm_paging_p ページパラメーターが含まれないようになりました。(Thanks ccmEnlil) ページリストブロックのページネーション用パラメーターを canonical URL に追加するかどうかを、ブロック設定で制御できるようになりました。(Thanks ccmEnlil) より多くのコアブロックが、より多くの状況でキャッシュされるようになりました。(Thanks hissy) JSON 形式のレスポンスが期待される場面で、より多くの場合にエラーも JSON 形式で返すようになりました。(Thanks mlocati) エクスプレスでカスタム EntryManager を使用している場合に、未定義の logger に関するエラーが発生する問題を修正しました。 /account/* の保護されたページにアクセスしてログイン画面へ遷移した場合、ログイン完了後に適切なページへ戻るようになりました。 バグ修正(Bug Fixes) ユーザー向け ファイル操作に関する修正 削除済みファイルが選択された状態で、新しいファイルを選択できない問題が修正されました。 ファイル検索結果に同じファイルが複数表示されることがある問題が修正されました。 フォーム・入力に関する修正 エクスプレスフォームにおいて、アップロード先フォルダーが削除されている場合にエラーが発生する問題が修正されました。 管理画面表示に関する修正 マルチサイトセレクターが正しく表示されない問題が修正されました。 ドキュメントライブラリの検索結果で属性情報が正しく表示されない問題が修正されました。 ページテーマ設定画面でテンプレートの有効化が表示されない問題が修正されました。 権限・設定に関する修正 特定の権限設定において、スーパーユーザー以外がページタイプのデフォルトを編集できない問題が修正されました。 その他の修正 グローバルエリア表示時にエラーが発生する問題が修正されました。 カレンダーイベントで終了日が正しく設定されない問題が修正されました。 8系から9系へのアップグレード時に、一部のスタイルが失われることがある問題が修正されました。 補足 本バージョンでは、ファイル操作や管理画面表示など、日常的に利用される機能に関する不具合が複数修正されています。 開発者向け 「Access Page Type Defaults」権限に他のグループを追加していても、ページタイプのデフォルトをスーパーユーザー以外が編集できない問題を修正しました。 Concrete File Input コンポーネントで、削除済みファイルを使用していた場合に新しい画像やファイルを選択できない問題を修正しました。Thanks mlocati, danklassen エクスプレスフォームブロックで、ファイルアップロード先として設定していたフォルダーが削除されている場合にエラーが発生する問題を修正しました。(Thanks dimger) ファイル名にアンパサンドなどの特殊文字が含まれる場合、管理画面の検索結果に同じファイルが複数回表示されることがある問題を修正しました。(Thanks straatrakker) polls 機能を使用するコアブロックの表示時に、polls 機能が利用できないという notice ログが出力される問題を修正しました。(Thanks biplobice) マルチサイト環境で、サイト名に特殊文字が含まれている場合に、管理画面のマルチサイトセレクターが正しく表示されない問題を修正しました。(Thanks patej) Concrete のインターフェース内の誤字や、翻訳できない文字列を修正しました。(Thanks wtflm) ドキュメントライブラリの検索結果テーブルで、タグなどの属性が正しく表示されない問題を修正しました。(Thanks JohnTheFish) 新しい Configure ページへの移行後、管理画面のページテーマでテーマ内のページテンプレートを有効化する機能が表示されなくなっていた問題を修正しました。 タグブロックの説明文の誤りを修正しました。(Thanks JohnTheFish) グローバルエリアに承認済みバージョンがない状態でサイト上に表示された場合、エラーが発生することがある問題を修正しました。(Thanks biplobice) 一部の状況で、ユーザーグループによる検索時にエラーが発生する問題を修正しました。(Thanks TMDesigns) フォルダーへファイルを追加するエンドポイントに、追加の権限チェックを追加しました。(Thanks JohnTheFish) CalendarEventVersion エンティティに getJSONObject メソッドがない問題を修正しました。 カレンダーイベント作成時に「終日」をチェックし、日付を変更せずに送信すると、終了日が 1970 年になる問題を修正しました。 スタイルカスタマイザーを使用していた 8.x サイトを 9.x にアップグレードした際、一部のスタイルが失われることがある問題を修正しました。(Thanks kaktuspalme) ワークフローリクエストのメッセージに空のページ名が含まれることがある問題を修正しました。 後方互換性に関する注意 (Backward Compatibility Notes) ユーザー向け これまで、スタックやクリップボードにあるブロックをページに配置した場合、実体をコピーするのではなく、元のブロックを参照する仕組みになっていました。 そのため、 元のブロックを変更すると、別のページに配置したブロックも一緒に変わる どこかで編集した内容が、意図せず他のページにも影響する といったことが起こることがありました。 今回のバージョンからは、スタックやクリップボードにあるブロックを配置する際に常にコピーが作られるように変更されました。 この変更により、スタックやクリップボードにあるブロックを配置した場合は、ページごとに独立した内容として扱われます。 その結果、他のページの変更に影響されなくなり、意図しない変更が起きにくくなりました。 つまり、9.5.0 からは 9.4.8 までの仕様であった「元のブロックを編集すれば、配置先のブロックにも変更が反映される」という仕組みが利用できません。 複数のページで同じ内容を共有したい場合は、スタック機能をご利用ください。 開発者向け スタックやクリップボードパネルからブロックをページへドラッグした場合、これまでは容量削減や更新可能性のため、元のブロックへのポインターが作成されていました。 しかし、この挙動により、まったく関係のないページの削除済みバージョンが、元ブロックからコピーされたコンテンツを持つページの内容を変更してしまうような、予期しない問題が発生する場合がありました。 そのため、今回のバージョンからは、クリップボードまたはスタックからコピーする際に、常にブロックのコピーを作成するように変更されました。 元コンテンツへのポインターを維持し、ページとは別のタイミングでブロック内容を更新したい場合は、ブロック単体ではなくスタック全体をページへドラッグし、スタック側を個別に更新してください。 開発者向けアップデート(Developer Updates) 開発者向け Concrete CMS が PHP 8.5 をサポートしました。 Concrete のメール機能が Laminas/Email ではなく Symfony/Mailer に依存するようになりました。一般的な利用においては、後方互換性に関する問題はないとされています。 メールインポート機能が Concrete CMS から削除されました。この機能はコアでは使用されておらず、多くのサードパーティーパッケージでも使用されていないと考えられています。影響がある場合は開発元へ連絡するよう案内されています。 可能な範囲で、すべての PHP 依存関係が更新されました。 anahkiasen/html-object が、より新しくサポートされている kylekatarnls/html-object に置き換えられました。新しいメソッドが追加されていますが、完全な後方互換性があります。 ブロックコントローラーで、キャッシュ挙動をより細かく制御できるようになりました。btCacheBlockOutputOnEditMode などが追加されています。(Thanks hissy) JavaScript の ConcreteFileManager.getFileDetails は、ファイルが見つからない場合に null を返すようになりました。独自の JavaScript を使用している一部のブロックでは、この変更に対応する必要がある場合があります。(Thanks mlocati) 環境情報に MySQL の max_connections が表示されるようになりました。(Thanks mlocati) Concrete に組み込まれている php cs fixer 用のコンソールコマンドは、より細かな制御を可能にするため、外部ライブラリ版へ処理をルーティングするようになりました。(Thanks mlocati) /login/redirect に新しい rcURL クエリ文字列パラメーターを渡せるようになりました。これにより、ログイン後に特定の URL へリダイレクトできます。セキュリティのため、許可リストが使用されます。
https://concretecms-help.macareux.co.jp/release/concrete-cms-950

Concrete CMS 9.4.8 リリースノート

Concrete CMS 9.4.8 がリリースされました。 本ページは以下の原文を翻訳・要約しています。 https://github.com/concretecms/concretecms/releases/tag/9.4.8   機能改善(Behavioral Improvements)   権限(Permission)の割り当てが大量にあるサイトでのパフォーマンスを改善しました。     セキュリティアップデート(Security Updates)   ブロック設定フィールドに保存された攻撃者制御のシリアライズデータが、制限や整合性チェックなしに unserialize() に渡され、リモートコード実行につながる恐れがある問題を修正しました( CVE-2026-3452)。 本件は、columns / filterFields を空の状態から開始する修正( commit 1286)により対応されています。 CVSS v4.0: 8.9(CVSS:4.0/AV:N/AC:H/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H)。 Thanks YJK of ZUSO ART for reporting H1 3549050. 検索ブロックにおける保存型XSSの問題( CVE-2026-3244)を commit 12826 で修正しました。(H1 3542571)。Thanks zolpak for reporting HackerOne 3542571. Switch Language ブロックにおける保存型XSSの問題( CVE-2026-3242)を commit 12826 で修正しました。(H1 3451125)。Thanks Phí văn Thiện (thienphi1480) for reporting HackerOne 3451125. レガシーフォーム(Legacy Form)ブロックの選択肢(チェックボックス/ラジオ/セレクト)における保存型XSSの問題( CVE-2026-3241)を commit 12826 で修正しました。(H1 3456482)。Thanks Phí văn Thiện (thienphi1480) for reporting H1 3456482. レガシーフォーム(Legacy Form)要素の Question フィールドにおける保存型XSSの問題( CVE-2026-3240)を commit 12826 で修正しました。(H1 3451114)。Thanks minhnn42, namdi, and quanlna2 from VCSLab-Viettel Cyber Security for reporting H1 3451114. Anti-Spam Allowlist のグループ設定において、group_id の変更保存前に CSRF トークン検証が確実に行われるよう commit 12826 で修正しました( CVE-2026-2994)(H1 3437650)。Thanks z3rco for reporting H1 3437650. ※ 原文の注記どおり、上記のセキュリティ修正は Concrete CMS v9 のみが対象で、v8 には修正提供がありません。
https://concretecms-help.macareux.co.jp/release/ver9-old/concrete-cms-948

Macareux Form Responder Notification

サイト内に設置したフォームごとに、返信メールの設定を管理画面から設定できます。 管理画面 > システムと設定 > Eメール > Form Response にフォームの一覧が表示されます。 設定するフォーム名をクリックすると、設定画面が開きます。 項目 内容 Disable Auto-Response OFF:自動返信メールを送信しない(デフォルト) ON:自動返信メールを送信する From Email From に使用するメールアドレスを入力します Reply-To Email Reply-To に使用するメールアドレスを入力します Send an email to the logged-in user ON:ログインユーザーにはアカウントに設定されているメールアドレス宛に自動返信メールを送信する(フォームにメールアドレスの入力欄がなくても送信します) OFF:ログインユーザーに自動返信メールを送信しない Template Type Input Manually:管理画面でメール本文を作成します Template PHP File:phpテンプレートファイルをメール本文に使用します Input Manually を選択した場合 件名 メールの件名を入力します HTML メール本文をHTML形式で入力します テキスト メール本文をプレーンテキストで入力します 受信元の設定に合わせて、HTMLメールかテキストメールが受信されますので、入力欄が分かれています。HTMLとテキストに同じ内容の本文を書いておくことをお勧めします。 フォームの回答を本文に挿入することが可能です。 項目ボタンをクリックすると本文内に挿入できます。マウスホバーでフォームの項目名が表示されますのでご活用ください。 Send an email to the logged-in user をONにすると、ユーザー属性も本文に挿入できるようになります。 Template PHP File を選択した場合 サーバー上に設置したメールのテンプレートファイルを使用することができます。 Template PHP File 欄にテンプレートファイル名を入力します。 テンプレートファイルは application/mail ディレクトリに設置します。 テンプレートの書き方はアドオンのREADMEを参照してください。
https://concretecms-help.macareux.co.jp/add-on/macareux-form-responder-notification

Google SAML 側の設定

Google SAML を利用してSAML認証を利用する場合の手順を解説します。
Google の公式ドキュメント(2026/01 時点)の手順に沿った方法を画像つきで解説します。 なお、この方法は Google Workspace の特権管理者以外では操作が行えません。 あらかじめ、特権管理者アカウントのログイン情報をご準備の上操作を進めてください。 1. アプリの追加 Google Workspace の管理画面にアクセスし、アプリ > ウェブアプリとモバイルアプリ のページを表示します。 一覧のメニューにある [アプリを追加 ▼] リンクをクリックします。 表示されたメニュー内にある [カスタムSML アプリの追加] をクリックします。 カスタムSAML アプリの追加ダイアログが表示されます。 以下の3つの項目を設定し、右下にある [続行] ボタンをクリックします。 アプリ名(必須) アプリの説明 アプリのアイコン ※ アプリの説明、アイコンは任意 2. メタデータ(XML)ファイルの取得 次に表示された「オプション1」の項目の中にある [メタデータをダウンロード] ボタンをクリックして、ファイルを取得します。 ダウンロードが完了したら、ダイアログ下の [続行] ボタンをクリックします。 3. Google ID プロバイダの設定 次に表示された「サービス・プロバイダの詳細」で、以下の設定を行います。 ACS のURL 利用しているアドオンの種類によって設定します。 Exchange Core SAML Authentication https://対象ドメイン/index.php/ccm/system/authentication/ed_saml/acs Macareux SAML Authentication https://対象ドメイン/index.php/ccm/system/authentication/md_saml/callback もし、Concrete CMS でプリティーURLを有効化している場合は、上記2つのURLから「index.php」を削除してください。 エンティティID 次の設定を入力します。 https://対象ドメイン/index.php/sp その他入力項目はありませんので、ここまで入力したら [続行] ボタンをクリックします。 4. 属性の登録 マッピング対象の属性を設定します。 [マッピングを追加] ボタンをクリックして、入力エリアを追加します。 この設定をする前に、あらかじめアドオン側で「マッピング対象の属性ID」を登録しておいてください。 手順はアドオンによって異なります。以下を参照してください。 Exchange Core SAML Authentication(Concrete CMS と属性のマッピング) Macareux SAML Authentication(Concrete CMS と属性のマッピング) 左側の Google Directory の属性 で Concrete CMS に連携したい種類の属性を選択します。 右側の アプリの属性 で Concrete CMS に存在する連携先の属性IDを選択します。 認証に使うために追加が必要な項目は以下のとおりです。 Google 側 Concrete 側 Primary email メールアドレス(uEmail, email など) Employee ID ユーザーID(uName, employeeID など) その他、連携したい属性があれば追加していきます。 この際、Concrete 側に設定した属性ID と必ず値を一致させます。 すべての入力が完了したら、右下の [完了] ボタンをクリックします。 ここまで設定が完了したら、アドオン側の設定を行います。 利用しているアドオンのマニュアルをご覧ください。 Exchange Core SAML Autentication Macareux SAML Authentication
https://concretecms-help.macareux.co.jp/add-on/saml/google-saml

Concrete CMS 9.4.7 リリースノート

Concrete CMS 9.4.7 がリリースされました。 本ページは以下の原文を翻訳・要約しています。 https://github.com/concretecms/concretecms/releases/tag/9.4.7     機能改善(Behavioral Improvements)   YouTube ブロックの表示に iframe タグが含まれるようになり、一部の厳格な Web サーバー設定環境下でも正しくレンダリングされるようになりました(Thanks MarcoKuoni) API エンドポイントに対して operation ID が定義されるようになりました(Thanks hissy) 管理画面 > データベースエンティティページにて、PHP 属性を使って定義されたエンティティも表示されるようになりました(Thanks mlocati)     バグ修正(Bug Fixes)   会話機能のファイル添付アイコンおよび添付エリアの表示が正しく行われない問題を修正しました 会話の読み込み表示が正しく行われるよう修正しました ワークフローポップアップの閉じる「X」ボタンが Atomik テーマにしか表示されない問題を修正しました 「会話を購読する」ポップアップの「X」ボタンが「購読/購読解除」ボタンの機能を実行してしまう問題を修正しました プロフィール編集におけるユーザー名のバリデーションに関する不具合を修正しました フォームブロックをページに追加した後、その名前を編集ダイアログから変更できなかった不具合を修正しました jQuery UI の地域別言語ファイルが読み込みに失敗することがあるバグを修正しました(Thanks mlocati)     開発者向けの更新(Developers Update)   依存ライブラリが最新のマイナーバージョンに更新されました     セキュリティアップデート(Security Updates)   Symfony Foundation ライブラリのパッチ適用(CVE-2025-64500)により、パス情報の解析に関する制限付き認可回避の脆弱性を修正しました enshrined/svg-sanitizer の更新により、SVG ファイルのセキュリティスキャン機能が向上しました(CVE-2025-55166)
https://concretecms-help.macareux.co.jp/release/ver9-old/concrete-cms-947

ページデザインを変更する

Concrete CMS では、テーマのほかに各ページでデザイン(文字色、背景色など)を変更することができます。 これらはテーマ側が対応していれば可能です。 ver.8 では デザイン、ver.9 では スキン と呼ばれる機能です。 CMS のバージョンによって操作方法が異なりますので、ご自身が利用のバージョンをご確認の上、下記をご覧ください。 デザインを変更する ver.8 を利用されている場合はこちら。 スキンを変更する ver.9 を利用されている場合はこちら。
https://concretecms-help.macareux.co.jp/editor/page-settings/design

スキンを変更する

Concrete CMS ver.9 以降から搭載された「テーマのスキン」をカスタマイズする方法を解説します。
Concrete CMS では、ver.9 からテーマのデザイン変更は スキン を変更する形になりました。 このページでは、スキンの変更方法を解説しています。 ver.8 でのデザイン変更方法については、デザインを変更する ページをご覧ください。 テーマのスキンについて テーマが持つ「デザインのパターン」のことです。 Concrete CMS ver.9 では、テーマで用意されたスキンをもとに色・フォント・ボタンなどの見た目を調整して、自サイト専用のスキンを作成し、ページごとに適用できるようになりました。 Concrete CMS 標準搭載のAtomik テーマで言えば、以下のような調整が可能です。 トップページは Default スキンを適用 Blog ページ以下では、Golden Meadow スキンを適用 スキンになったことでできなくなったこと 従来、ver.8 では各ページで直接デザインを調整するか、サイト全体に適用するかの2択でした。 現在のスキン形式では管理画面でスキンをあらかじめ用意してから、各ページに適用する形になりました。 そのため「このページだけ色味をちょっと変更したい」となった場合、専用スキンを作成する必要があります。 本ページで解説すること 本ページでは、すでに作成済みのスキンを適用する方法を解説します。 そのため、スキンの作成方法については別途管理者向けのマニュアルである 既存のスキンをカスタマイズする を参照してください。 スキンをページに適用する あらかじめ用意してあるスキンを適用するには、以下の2つの方法があります。 ページに訪問して直接適用する フルサイトマップやページ検索を利用して管理画面上で適用する ここでは、ページに訪問して直接適用する方法をご案内します。 スキンを変更したいページを表示します。 ツールバーの歯車(ギア)アイコンをクリックします。表示されたページ設定メニューから「デザイン」をクリックします。 表示されたパネルのスキン欄のプルダウンメニューから、適用したいスキンを選択します。 スキンを選択すると、適用イメージが右側に表示されます。 問題なければ、[変更を保存] ボタンをクリックします。 なお、変更を保存した段階ではゲストには変更内容は公開されていません。 このデザイン変更を公開したい場合は、ページを公開してください。
https://concretecms-help.macareux.co.jp/editor/page-settings/design/change-skin

reCAPTCHA v3 の作成方法

Google の reCAPTCHA v3 のキー作成方法を紹介しています。
※ 2025/11 時点での作成方法のご案内です。Google 側で仕様変更があることもありますので、ご了承ください。 Google Cloud で、サイトが所属するプロジェクトを選択します。 ※ captcha設定ページで「reCAPTCHA v3」を選択したときにリンクが表示されますが、改定前のもののため旧サイトに遷移してしまいます。 Google Cloud のヘッダーにある検索ボックスで「reCAPTCHA」と入力します。このうち「プロダクトとページ」にある「reCAPTCHA」をクリックします。 reCAPTCHA のダッシュボードが表示されます。 サイトキーの作成 まだ一度も作成したことがないサイトの場合、[鍵を作成] ボタンをクリックします。 鍵を作成する設定ページが表示されます。 基本設定 必須設定で、以下の項目を設定します。 表示名 Google の reCAPTCHA リストで表示する任意の名前を設定します。 アプリケーションの種類 reCAPTCHA を使用する環境のアプリケーションを設定します。(Concrete CMSの場合は「ウェブ」) ドメインリスト reCAPTCHA を使用する環境のドメインを指定します。https:// などは除き、ドメインのみを設定します。 設定が完了したら [次のステップ(省略可)] ボタンをクリックします。 追加設定 追加設定はオプションなので、通常は設定せずそのままページ下の [Create Key] ボタンをクリックします。 ただし、WAF を使用している環境の場合は「Will you deploy this key in a Web Application Firewall (WAF)?」を有効にして、設定を行ってください。 詳細は公式ドキュメントの Integration with WAF service providers overview をご覧ください。 サイトキーとシークレットキーの取得 サイトキーは、作成したキーの部分にある ID をコピーしておきます。 Concrete CMS では、シークレットキー(秘密鍵)を利用しますのであわせて取得します。 システム開発タブを表示します。 キーの作成直後は「サードパーティと統合する予定がありますか?」という文言が表示されています。この中にある [サードパーティのサービスやプラグインと統合する] リンクをクリックします。 シークレットキー(秘密鍵)が表示されますので、コピーして控えておきます。 CAPTCHA を設定する で解説しているページで、上記で取得したサイトキーとシークレットキーを設定すれば Concrete CMS のフォームなどで reCAPTCHA v3 を利用することができます。
https://concretecms-help.macareux.co.jp/admin/system/recaptcha-v3