Search results

用語集、よくある質問などはこちら:用語集FAQ

Concrete CMS 9.3.6 リリースノート

Concrete CMS 9.3.6 がリリースされました。 本ページは以下の原文を翻訳しています。 https://github.com/concretecms/concretecms/releases/tag/9.3.6 新機能 ファイルマネージャーからファイルをダウンロードする際に、カスタムファイルネームパターンを指定する機能を追加しました。利用可能なプレースホルダは{title}、{extension}、{filename}です。(thanks SashaMcr) ファイルマネージャーの列とソート順をデフォルト設定する機能を追加しました。(thanks SashaMcr) 機能改善 ユーザーの CSV エクスポートで、管理画面で定義された CSV オプションの「DateTime Format」が使用されるようになりました。(thanks SashaMcr) 画像スライダーブロックに 高さ/幅 オプションが追加されました。(thanks ajenkins-dev) RSS表示ブロックの controller と view コードの改善とリファクタリングをしました。(thanks SvanteArvedson) エクスプレス一覧ブロックのパフォーマンスを改善しました。(thanks hissy) その他パフォーマンスを改善しました。(thanks hissy) 修正: 全ページがキャッシュされると、セキュリティ・ヘッダーが設定されない。(thanks marcokuoni) 環境情報レポートに有用な情報を追加しました。(thanks JohnTheFish) 管理画面のブロックタイプページに、ブロックタイプに関する便利な情報を追加しました。(thanks JohnTheFish) バグ修正 ページが再編集されると、topic属性の子階層のトピックが消えてしまう。(thanks hissy) Dorset をイングランドの郡に復帰させました。(thanks ajenkins-dev) 修正:RSS表示機能で受信したRSS記事が重複して表示される。(thanks SvanteArvedson) ページのメインエリアに適用されたカスタムスタイルが、ページ上のエディターを使って配置されたスタックにカスケードされるバグを修正しました。 修正:Atomikドキュメントの作成が、フルコンテンツでインストールされていない場合、機能しない。 修正: トップナビゲーションバーに未承認バージョンのページが表示される。(thanks hissy) 結果フォルダが削除されたエクスプレスオブジェクトを編集する際のバグを修正しました。 (thanks dimger) アコーディオンブロックの controller.php を修正し、説明フィールドでプリティURL を使用できるようにしました。(thanks jbender0) 入力すべき属性がある場合にOAuthでログインできない問題を修正しました。(thanks mlocati) トピックのカテゴリーでページリストをフィルターする選択が機能しない(トピックだけが機能する)状況を修正しました。(thanks hissy) CMSのUIツールチップがBedrock以外のテーマで正しく表示されていなかったバグを修正しました。 修正:[ファイルを選択] モーダルを開くと "最終更新日時"ヘッダがアクティブになっていましたが、代わりに "ファイル名"がアクティブになるようにしました。(thanks hissy) 削除されたユーザーからのメッセージを受信した場合、プライベートメッセージメールボックスにエラーが発生する問題を修正しました。(thanks wtflm) 修正:イベント一覧ブロックのトピックフィルタ UI 要素が正しく再入力されない。
https://concretecms-help.macareux.co.jp/release/ver9-old/concrete-cms-936

お気に入りフォルダを活用する

お気に入りフォルダを設定すると、ファイル選択時などにかんたんに確認することができます。
ファイルマネージャーにはフォルダのお気に入り機能があります。 このお気に入り機能はフォルダでファイルを管理している場合、ファイルマネージャーからファイルを選択しやすくすることができます。 お気に入り機能を使うと 管理画面のファイルマネージャー上、ページ(ブロック)上からファイルを選択するときにわかりやすくすることができます。 管理画面 ページ・ブロック等 左メニューにある「検索」と「ファイル添付」の間に表示されます。 お気に入りの追加 ファイルマネージャー上にフォルダを作成すると、フォルダアイコンの横に☆マークが表示されます。 ☆マークに色がつくと「お気に入り」状態になります。 お気に入りフォルダがひとつでもあると、ページ上部にお気に入りフォルダへすぐにジャンプできるプルダウンメニューが表示されます。 お気に入りの解除 お気に入りフォルダは、色のついた☆マークをクリックすることで解除されます。
https://concretecms-help.macareux.co.jp/editor/file-manager/favorite-folder

Concrete CMS 9.3.5 リリースノート

Concrete CMS 9.3.5 がリリースされました。 本ページは以下の原文を翻訳しています。 https://github.com/concretecms/concretecms/releases/tag/9.3.5 新機能 デフォルトにしたいファイルセレクタタブを設定できる「ファイルセレクタオプション」を管理画面に追加しました。(thanks Mesuva) 多言語設定ページに、多言語ウェブサイトで「hreflang」を有効にする新しいチェックボックスを追加しました。(thanks leal-k) 機能改善 コードベース全体を通して「concrete5」を「Concrete」に置き換えました。(thanks mlocati) ロード時のレイアウトのずれを軽減するため、画像ブロックと一部の画像サムネイルにwidthとheight属性を追加しました。(thanks katalysis) バグ修正 トピックおよび Express 属性タイプの保存時に発生することがあったバグを修正しました。(thanks alecbiela) グローバルエリアでオートナビとエクスプレスフォームのブロックが編集またはプレビューできない問題を修正しました。 ナビ属性から除外するチェックボックスが適切に翻訳されるようになりました。(thanks leal-k) コンポーザーページのスケジュールダイアログの「スケジュール」ボタンが何もしないバグを修正しました。 トップナビゲーションバーブロックで、サブページがある項目をクリックしてもページに移動しないバグを修正しました。 Firefoxでブロックヘルプダイアログが表示されないバグを修正しました。(thanks alecbiela) 修正:フォームのリダイレクト先の設定を解除するとエラーがスローされる 修正:Youtubeブロックの変数名が正しくない DeleteGroupCommandHandler.phpのタイプミスを修正しました。(thanks mlocati) 修正:フォームブロックからメール通知を削除できない (thanks lea-k) 修正:Swagger対話型APIコンソールがSuper-admin以外のページの更新に失敗する。 トピック属性のエクスポートで値が設定されていない場合のバグを修正しました。(thanks RLHawk1) 開発者向けアップデート アセットシステムに Javascriptの "module "タイプと "importmap "タイプのサポートを追加しました。(thanks alecbiela) LatestMigrationTest ユニットテストの出力を改善しました。(thanks mlocati) APIドキュメントを調整しました。(thanks dimger) ページ一覧と子ページの取得のAPIメソッドは、canViewPageInSitemap の代わりに canViewPage 権限を要求するようになりました。
https://concretecms-help.macareux.co.jp/release/ver9-old/concrete-cms-935

ページの閲覧権限を付与する

個別ページ、あるいは特定のページ以下に対して閲覧権限を設定することができます。
当ページでは、上級権限モードでの設定方法をご案内しています。 また、当ページ内ではページ表示に関わる「表示」権限にのみ絞って解説しています。その他ページ権限項目につきましては、ページの権限設定 をご覧ください。 ※ 編集中のページ内容を表示する権限とはまた異なります。詳細は ページの権限設定 の権限セットをご覧ください。 また、当ページ内の画像では ver.9 の画面になっていますが、UI は ver.8 も同じです。 管理画面で設定する サイトマップから設定する 管理画面 > サイトマップ > フルサイトマップ ページを表示します。 閲覧権限を変更したいページをクリックします。表示されたメニューから「権限」をクリックします。 ページ検索から設定する 管理画面 > サイトマップ > ページ検索 ページを表示します。 閲覧権限を変更したいページを検索し、検索結果一覧に表示されたらページの行にカーソルをあわせます。右側に三点リーダーのアイコンが表示されますので、クリックします。表示されたメニューの「権限」をクリックします。 「権限を割り当てる」項目が「上位階層から継承する」だった場合は、このページ上では権限を変更することができません。 メッセージに表示されているページで権限変更の操作をするか「権限を割り当てる」項目の設定を変更する必要があります。 ここでは、このページのみ権限を変更したいため「権限を割り当てる」項目を「手動で」に変更します。 変更を確認ダイアログが表示されます。 そのまま [OK] ボタンをクリックします。 権限ダイアログ内の表示内容が切り替わったら「今の権限セット」内にある「表示」項目をクリックします。 「表示」権限のアクセスエンティティ設定ダイアログが表示されます。目的のグループ・ユーザーを設定してください。 詳細なアクセスエンティティの設定方法については、権限(アクセスエンティティ)の設定方法をご覧ください。 なお、下層ページがある場合、下層ページの「権限を割り当てる」項目が「上位階層から継承」の場合はこのページで設定した権限が引き継がれます。 該当ページに訪問して設定する 管理画面の権限がなくても変更できる方法です。なお、別途ページ権限の「権限を変更」項目が必要です。 権限を変更したいページに訪問します。 ツールバーの歯車アイコンをクリックします。表示されたページ設定メニューから「権限」をクリックします。 画面右側に権限編集エリアが表示されます。 その後の操作は、上記「管理画面で設定する」内で解説した「「権限を割り当てる」項目が「上位階層から継承する」だった場合は〜」の方法と同じです。 設定変更後は、ページ内の [変更を保存] ボタンを必ずクリックしてください。 権限の変更はバージョン管理されないため、即時反映されます。
https://concretecms-help.macareux.co.jp/editor/permission/add-view

Concrete CMS 9.3.4 リリースノート

Concrete CMS 9.3.4 がリリースされました。 本ページは以下の原文を翻訳しています。 https://github.com/concretecms/concretecms/releases/tag/9.3.4   新機能 詳細なページ検索にキャッシュ設定でページを検索する機能を追加しました。(thanks SashaMcr) 機能改善 ソーシャルリンクにDiscordを追加しました (thanks RLHawk1) 新しいAPI統合を追加する際、リダイレクトURLが必要になりました。(thanks mlocati) 保存時にカノニカル URLが検証されるようになりました。(thanks hissy) バグ修正 管理画面のスタックページのブロック追加ダイアログで、Concrete をstrict モードで実行した際のエラーを修正しました。(thanks mlocati) ユーザーに割り当てるグループとして、「ゲスト」や「登録ユーザー」を選択することができなくなりました(本来はできなかったはずです)。 Concreteがサブディレクトリにインストールされている場合、カノニカルURLにサブディレクトリへのパスが含まれないことがあった問題を修正しました (thanks biplobice) 修正:エクスプレス一覧 をフィルタリングするためにトピックを選択すると、以前に選択されたトピックが残る (thanks hissy) c5:package:install CLIコマンド: インストールオプションをインストールメソッドに渡す (thanks mlocati) 開発者向けアップデート トップナビゲーションバーはBedrock以外のテーマでもうまく動作するようになりました。(thanks RLHawk1) コアから非推奨のCore::make()コードをいくつか削除しました。 c5:package:packコマンドを拡張し、Zipファイル名を必要とせずに柔軟な出力パスを指定できるようにしました。 セキュリティアップデート バージョン8 のコミットdbce253166f6b10ff3e0c09e50fd395370b8b065およびバージョン9のコミット12183で、ファイルサムネイルダッシュボードシングルページの""Save Background Image Colour""の出力をサニタイズすることで、イメージエディタ背景色のCVE-2024-8291 Stored XSSを修正しました。 Concrete CMS Security Teamは、この問題をCVSS v4スコア2.1、ベクトルCVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:Nに修正しました。修正前は、不正な管理者がサムネイル/追加タイプに悪意のあるコードを追加する可能性がありました。HackerOne 921527を報告してくれたAlexey Solovyev氏に感謝します。 バージョン 8 のコミット 7c8ed0d1d9db0d7f6df7fa066e0858ea618451a5、バージョン 9 のコミット 12183 および 12184 で、カレンダーイベント追加機能における CVE-2024-7398 Stored XSS 脆弱性を修正しました。Concrete CMS Security Team は、この脆弱性に CVSS v4 スコア 1.8 を与え、ベクター VSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:N/VI:N/VA:N/SC:L/SI:N/SA:Nに修正しました。 修正前は、カレンダーのイベント名が出力時にサニタイズされていませんでした。イベントカレンダーを作成する権限を持つユーザーまたはグループはスクリプトを埋め込むことができ、イベントカレンダーを変更する権限を持つユーザーまたはグループはスクリプトを実行することができました。HackerOne 2400810を報告してくれたYusuke Uchida氏に感謝します。 コミット 12128 で、"Top Navigator Bar" ブロックの CVE-2024-8660 Stored XSS を修正しました。Concrete CMS Security Team は、この脆弱性に CVSS v4 スコア 4.6 を与え、ベクターは CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:Nに修正しました。 修正前は、不正な管理者が悪意のあるペイロードを追加する可能性がありました。トップナビゲーターバー」の出力が十分にサニタイズされていなかったため、標的となるユーザーがホームページにアクセスすると、このペイロードが実行される可能性がありました。なお、Versons 9以下には「トップナビゲーションバー」ブロックがないため、この問題は発生しません。HackerOne 2610205 を報告してくれた Chu Quoc Khanh 氏に感謝します。 バージョン9のコミット12204およびバージョン8のコミットce5ee2ab83fe8de6fa012dd51c5a1dde05cb0dc4で 「次へ」「前へ」ナビブロックのCVE-2024-8661 Stored XSSを修正しました。Concrete CMS Security Teamは、この脆弱性にCVSS v4スコア4.6(ベクトルCVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N)を与えました。修正前は、不正な管理者が悪意のあるペイロードを追加する可能性がありました。「次へ」「前へ」ナビブロックの出力が十分にサニタイズされていなかったため、悪意のあるペイロードが標的となったユーザーのブラウザで実行される可能性がありました。HackerOne 2610205 を報告してくれた Chu Quoc Khanh 氏に感謝します。
https://concretecms-help.macareux.co.jp/release/ver9-old/concrete-cms-934

Concrete CMS 8.5.19 リリースノート

Concrete CMS 8.5.19 がリリースされました。 本ページは以下の原文を翻訳しています。 https://github.com/concretecms/concretecms/releases/tag/8.5.19 セキュリティアップデート ver.8 のコミットdbce253166f6b10ff3e0c09e50fd395370b8b065およびver.9のコミット12183で、ファイルサムネイルダッシュボードシングルページの"Save Background Image Colour"の出力をサニタイズすることで、イメージエディタ背景色のCVE-2024-8291 Stored XSSを修正しました。 Concrete CMS Security Teamは、この問題をCVSS v4スコア2.1、ベクトルCVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:Nに修正しました。修正前は、不正な管理者がサムネイル/追加タイプに悪意のあるコードを追加する可能性がありました。HackerOne 921527を報告してくれたAlexey Solovyev氏に感謝します。 バージョン 8 のコミット 7c8ed0d1d9db0d7f6df7fa066e0858ea618451a5、バージョン 9 のコミット 12183 および 12184 で、カレンダーイベント追加機能における CVE-2024-7398 Stored XSS 脆弱性を修正しました。Concrete CMS Security Team は、この脆弱性に CVSS v4 スコア 1.8 を与え、ベクター VSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:N/VI:N/VA:N/SC:L/SI:N/SA:Nに修正しました。 修正前は、カレンダーのイベント名が出力時にサニタイズされていませんでした。イベントカレンダーを作成する権限を持つユーザーまたはグループはスクリプトを埋め込むことができ、イベントカレンダーを変更する権限を持つユーザーまたはグループはスクリプトを実行することができました。HackerOne 2400810を報告してくれたYusuke Uchida氏に感謝します。 バージョン9のコミット12204およびバージョン8のコミットce5ee2ab83fe8de6fa012dd51c5a1dde05cb0dc4で 「次へ」「前へ」ナビブロックのCVE-2024-8661 Stored XSSを修正しました。Concrete CMS Security Teamは、この脆弱性にCVSS v4スコア4.6(ベクトルCVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N)を与えました。修正前は、不正な管理者が悪意のあるペイロードを追加する可能性がありました。「次へ」「前へ」ナビブロックの出力が十分にサニタイズされていなかったため、悪意のあるペイロードが標的となったユーザーのブラウザで実行される可能性がありました。HackerOne 2610205 を報告してくれた Chu Quoc Khanh 氏に感謝します。
https://concretecms-help.macareux.co.jp/release/ver8-old/concrete-cms-8519

Concrete CMS 9.3.3 リリースノート

Concrete CMS 9.3.3 がリリースされました。 本ページは以下の原文を翻訳しています。 https://github.com/concretecms/concretecms/releases/tag/9.3.3 新機能 モバイルビューでサイトを編集する際に、ページを追加するボタンが追加されました。(thanks hissy) 機能改善 インストール速度の向上 管理画面のユーザー検索プリセットを表示してエクスポートすると、検索結果のユーザーだけが適切にエクスポートされるようになりました。(thanks SashaMcr) モバイルデバイスでの編集時に、ダイアログやパネルが小さなスクリーンからはみ出さないようになりました。(thanks hissy) HTTPSリクエストに対して自動的に "secure "クッキーを使用できるようになりました。(thanks mlocati) 書き込み可能なディレクトリのチェックに失敗した場合、インストール時に書き込み可能なディレクトリを所有する特定のユーザーを表示するようになりました (thanks mlocati) Express Form ブロックでメールアドレスに email HTML 入力タイプを使用するようになり、より良いバリデーションが可能になりました (thanks bikerdave) ハードコードされていた「1ページあたりのアイテム数」を、ファイル・セレクタで設定できるように変更しました(thanks SashaMcr) 修正: エンティティのリフレッシュ後にテキストフィールドのインデックスが削除されました。(thanks mlocati) プリティURLを有効にするための推奨nginxルールを改善しました。(thanks mlocati) Concrete Monolog Cascadeパッケージの名称を変更 (thanks bikerdave) トップナビゲーションバーブロックの出力サニタイズの改善しました。(thanks hissy) バージョン・スケジューリングのインターフェイスに説明を追加しました。(thanks KnollElias) バグ修正 修正:モバイル編集メニューがバージョン9で機能していなかった (thanks hissy) エラーを修正しました:リモート・アップデータがスローされます:「ディレクトリ %s は既に存在します。リモート・アップデータを実行しようとすると、"この項目は既にインストールされています。 古い特集テーマと特集アドオンの管理画面通知ブロックの文言を更新しました。 一部のサイトで、packages/ディレクトリに誤って不正なパッケージが含まれていた場合のエラーを修正しました。 (thanks mlocati) 修正:ページリストブロックのカスタムトピックが保存されない (thanks hissy) 修正:削除されたユーザーが作成したバージョンのカレンダーイベントを編集できない SearchResult Healthエンティティの "length "ORMアノテーションの型を修正しました。(thanks mlocati) 言語を切り替えるためにSwitch Languageブロックを使用した際に起こりうるエラーを修正しました。(thanks biplobice) Concreteサイトがマーケットプレイスの公開鍵と秘密鍵を持っていない場合に、マーケットプレイスにリンクしようとするエラーを修正しました (thanks pszostok) 修正:このページを共有する "印刷 "オプションが機能しない。 何度もページに追加すると、W3Cバリデーションからクレームが出る可能性があるため、X共有サービスのアイコンからIDを削除しました。(thanks quentinnorbert0) Composer のインストールで、サードパーティライブラリ zircote/swagger-php が Concrete のインストールをブロックすることがあったエラーを修正しました。 非常に特殊な状況下で削除されるはずのバージョンブロックのエントリーが、データベースに残っていることに関連するエラーを修正しました。(thanks bleenders) 修正: 非常に特殊な状況下でユーザー属性を保存しようとするとエラーが発生しました。(thanks mnalalay) 修正:Board InstanceSlotRules に関連付けられたユーザーを削除する際の外部キー制約違反 開発者向けアップデート 翻訳ライブラリのパーサーをカスタマイズおよび拡張できるようになりました。(thanks mlocati) セキュリティアップデート バージョン 9 のcommit 12166 およびバージョン 8 の commit c08d9671cec4e7afdabb547339c4bc0bed8eab06 で RSS Displayer の CVE-2024-4350 Stored XSS を修正しました。修正前は、不正な管理者が入力検証の不十分なフィールドに悪意のあるコードを注入する可能性がありました。コンクリートCMSのセキュリティチームは、この脆弱性にCVSS v3.1スコア3.0(ベクトル:AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:N/A:N)、CVSS v4スコア2.1 (ベクトル: CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N) を与えました。 HackerOne 2479824 を報告してくれた m3dium に感謝します。 Generate Board Name Input Field commit 12151 の CVE-2024-4353 Stored XSS を修正しました。修正前は、名前入力フィールドは入力を十分にチェックしておらず、不正な管理者が悪意のあるJavaScriptコードを注入できるようになっていました。コンクリートCMSのセキュリティチームは、この脆弱性にCVSS v3.1スコア3.1(ベクター:AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:N)、CVSS v4スコア1.8 (ベクトル: CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N) バージョン 9 以下の具体的なバージョンはこの脆弱性の影響を受けません。HackerOne 2597394 を報告してくれた fhAnso に感謝します。 バージョン 9 のcommit 12166 およびバージョン 8 の commit c08d9671cec4e7afdabb547339c4bc0bed8eab06で、出力される Board インスタンス名をサニタイズすることにより、getAttributeSetName() の CVE-2024-7394 Stored XSS を修正しました。修正前は、不正な管理者が悪意のあるコードを注入する可能性がありました。コンクリートCMSチームは、これをCVSS v3.1ランク2(ベクトル:AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:N)、CVSS v4.0ランク1.8(ベクトル:CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N)としました。HackerOne 2463288を報告してくれたm3dium氏に感謝します。 commit #12151 でインスタンス名をサニタイズすることにより、BoardインスタンスにおけるCVE-2024-7512 Stored XSSを修正しました。修正前は、不正な管理者が悪意のあるコードを注入する可能性がありました。Concrete CMS セキュリティチームは、この脆弱性に CVSS 4.0 スコア 1.8 (ベクター:CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N)を与えました。バージョン9以下のバージョンは影響を受けません。HackerOne 2486344を報告してくれたm3dium氏に感謝します。 curlが投稿をロードできない場合、RSS Displayerブロックでより一般的なエラーメッセージを表示する。HackerOne 2479824でこれを推奨してくれたm3diumに感謝します。 Concrete v.9.3.3では、ログイン要求がデフォルトでhttpsを使用している場合、CONCRETEクッキーのSecureフラグが強制されるようになりました。これは業界のベストプラクティスに沿ったものです。サイトが http:// で提供され、ゲストが http:// を使用してログインする場合、CONCRETE クッキーには Secure フラグが適用されないため、サイトは使用可能です。このパッチはバージョン8にはきれいに適用できませんでしたが、Secureフラグの設定はダッシュボードで設定できます。これはコンフィギュレーション設定であるため、CVEは発行されません。HackerOne 2399192 を報告してくれた Yusuke Uchida 氏に感謝します。
https://concretecms-help.macareux.co.jp/release/ver9-old/concrete-cms-933

Concrete CMS 8.5.18 リリースノート

Concrete CMS 8.5.18 がリリースされました。 本ページは以下の原文を翻訳しています。 https://github.com/concretecms/concretecms/releases/tag/8.5.18 バグ修正 デフォルトでチェックされているブーリアンページ属性が、チェックされていない状態で保存されていても、チェックされた状態で表示されるバグを修正しました。(thanks hissy) 特定の条件下でRedisを使用してセッションを保存しようとした際の問題を修正しました。(thanks mlocati) セキュリティアップデート バージョン 9 のcommit 12166 およびバージョン 8 の commit c08d9671cec4e7afdabb547339c4bc0bed8eab06 で RSS Displayer の CVE-2024-4350 Stored XSS を修正しました。修正前は、不正な管理者が入力検証の不十分なフィールドに悪意のあるコードを注入する可能性がありました。コンクリートCMSのセキュリティチームは、この脆弱性にCVSS v3.1スコア3.0(ベクトル:AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:N/A:N)、CVSS v4スコア2.1 (ベクトル: CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N) を与えました。 HackerOne 2479824 を報告してくれた m3dium に感謝します。 バージョン 9 のcommit 12166 およびバージョン 8 の commit c08d9671cec4e7afdabb547339c4bc0bed8eab06で、出力される Board インスタンス名をサニタイズすることにより、getAttributeSetName() の CVE-2024-7394 Stored XSS を修正しました。修正前は、不正な管理者が悪意のあるコードを注入する可能性がありました。コンクリートCMSチームは、これをCVSS v3.1ランク2(ベクトル:AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:N)、CVSS v4.0ランク1.8(ベクトル:CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N)としました。HackerOne 2463288を報告してくれたm3dium氏に感謝します。 curlが投稿をロードできない場合、RSS Displayerブロックでより一般的なエラーメッセージを表示する。HackerOne 2479824でこれを推奨してくれたm3diumに感謝します。
https://concretecms-help.macareux.co.jp/release/ver8-old/concrete-cms-8518

REST API について

Concrete CMS 9.2.0 から正式採用されたREST API の設定画面について解説しています。
REST API とは 外部サイトやJavascriptアプリケーションからリアルタイムにConcrete CMSのコンテンツを取得したり、更新したりすることができる機能です。 ver.8 当時はベータ版として搭載されていた機能でしたが、9.2.0 で正式リリースされました。 REST API でできること コンテンツ(ページ・エリア・ブロック)の追加・取得・更新・削除 ファイルマネージャーにアップロードされたファイル情報の取得・更新・削除 新しいファイルのアップロード ユーザーやグループの追加・取得・更新・削除・パスワードの更新 エクスプレスデータベースのデータの追加・取得・更新・削除 など Concrete CMS側でのマニュアルを公開しています。 OAuth2側は、ご利用予定のアプリケーションのヘルプをご確認ください。
https://concretecms-help.macareux.co.jp/admin/rest-api

直接URLとトラッキングURLについて

ファイルURL、トラックURLとも呼ばれるファイルマネージャーのファイルシステムの機能のひとつについて解説しています。
Concrete CMSにファイルをアップロードすると、直接URLとトラッキングURLという2種類のURLが付与されます。 直接URLとは ファイルが格納されているパスを表します。 このURLを経由して表示されたファイルはファイル権限は適用されず表示されます。 そのため、権限関係なくHTMLに表示させたい場合はこちらのURLを使用します。 なお、直接URLは必ず以下の形式で構成されており、変更することはできません。 https://example.com/application/files/(ランダム数字3桁)/(ランダム数字3桁)/(ランダム数字3桁)/ファイル名 トラッキングURLとは Concrete CMSでは、ファイルごとに権限を適用することが可能です。その権限を判定した上で表示やダウンロードさせたい場合は、こちらのパスを使用します。 また、ファイルが使用されているページや誰がダウンロードしたか等の情報を確認したい場合も、こちらのURLを参照するようにします。 直接URLの場合、ファイルが使用されているページや誰がダウンロードしたか等の情報を確認することはできません。 なお、このURLにアクセスした際に判定処理が行われるためページ内の画像URLとして利用には向きません。(ページを表示する度に判定処理が実行され動作が重くなる) 画像ブロックや記事ブロック等で画像を挿入した際にトラッキングURLに似た形式で表示されますが、URL内に/view_inline/ が含まれていれば、ページ表示時は直接URLに変換されます。 URLを確認できる場所 管理画面のファイルマネージャーで、ファイルの詳細ページで確認することができます。 ver.9 詳細ページをスクロールすると「URL & IDs」の表示があり、そこに表示されます。 ver.8 ファイルマネージャー上で確認したいファイルを右クリックします。 表示されたメニューから「詳細」をクリックします。 表示されたファイルの詳細ポップアップの「ファイルのURL」「トラックURL」が該当します。
https://concretecms-help.macareux.co.jp/editor/file-manager/file-url