2023年11月8日 (更新)
転載歓迎

Concrete CMS 8.5.13 リリース

2023年11月8日に Concrete CMS 8.5.13 がリリースされました。

Concrete CMS バージョン8系の脆弱性などを修正したセキュリティマイナーバージョンアップです。

ダウンロードページから、最新版をダウンロードできます。

8.5.13 リリースノート

原文 

動作の向上

• CKEditorのバージョンを最新の4.22.1に更新しました。(thanks hissy)
• いくつかの自動作成されたディレクトリを、適切なディレクトリパーミッションを使用するように更新しました。(thanks mlocati)

バグ修正

• Expressの関連付けコントロールがフォームに存在する場合、管理者が必須とマークしていなくても必須になってしまうバグを修正しました。(thanks yildirimmurat)
• Communty認証からユーザープロフィールへのリンクを修正しました。(thanks mlocati)
• CollectionSearchIndexAttributesテーブルが、承認されたバージョンではなく、最新のバージョンに基づいて更新される場合があったのを修正しました。(thanks biplobice)
• 修正： Gettext が非推奨の array_key_exists() を使用しており、PHP 7.4 で ConversionException をスローする (thanks 1stthomas, mlocati)
• Express Formsを通じてアップロードされたファイルの出力を適切にサニタイズするようになりました。

開発者向けアップデート

• commerceguys/addressing 1.4+はPHP 7.3と互換性がないため、インストールを避けてください。(thanks mlocati)

セキュリティ修正

• Expressオブジェクトの複数形ハンドルのサニタイズが改善されました。
• Expressオブジェクトのカスタムラベルのサニタイズが改善されました。
• Concrete CMSがGuzzle CVE-2023-29197の脆弱性を受けないようにGuzzle 6.5.8に更新しました。 H1 2132287を報告してくれたDanilo Costa氏に感謝します。
• 修正済み ファイル作成関数がデフォルトで作成されたフォルダーにユニバーサルアクセス (0777) を与えていたため、安全でないパーミッションでフォルダーが作成されることがありました。0755 を超えるパーミッションでディレクトリを作成した場合、または permissions 引数を指定しなかった場合に、過剰なパーミッションが付与される可能性がありました。Concrete CMSセキュリティチームは、これをCVSS v3 vector AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:Hで6.6（中）と採点しました。 H12122245を報告してくれたtahabiyikli-vortex氏に感謝します。修正を提供してくれたMlocati氏に感謝する。コミット 11739で修正しました。
• バージョン8.5で、API統合におけるnameパラメータ経由のXSS（CVE-2023-28477）を修正しました。以前の修正はバージョン9のみでした。修正前は、Concrete CMSでAPI統合機能を追加する際、パラメータ名が特殊文字を受け入れ、悪意のあるJavaScriptペイロードが/dashboard/system/api/integrationsおよび/dashboard/system/api/integrations/view_client/unique-idに影響を及ぼしていました。Concrete CMS セキュリティチームは、この問題を CVSS v3.1 vector AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:L/A:N で 5.5 と採点しました。 H1 1753684を報告し、オリジナルの修正を提供してくれた Veshraj Ghimire 氏に感謝します。コミットを参照してください。
• CVE-2023-44761を修正しました。管理者はこのコミットでデータオブジェクト経由のXSSを追加できます。脆弱性を直接Concreteチームに報告してください。
• CVE-2023-44765を修正しました。 Concreteは(データオブジェクトを経由して)アソシエーションに保存されたXSSに対して脆弱でした。このコミットにより修正されました。Concreteチームに直接脆弱性を報告してください。
• CVE-2023-28475 8.5バージョンでmsgIDがサニタイズされていなかったため、返信フォームに反射型XSSの脆弱性があったのを修正しました。以前の修正はバージョン 9 のみでした。Concrete CMS チームはこの問題を 4.2 (中) CVSS v3.1 vector AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:Nとしました。Bogdan Tiron さんの発見に感謝します。このコミットにより修正しました。
• アップロードされたファイル名をサニタイズすることで、Concrete Admin ページに保存された XSS を修正しました。コミット 11739 で修正しました。Concrete CMS セキュリティチームはこの問題を CVSS v3 vector AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N の 3.5 (low) としました。
• バージョン 8.5 の CVE-2023-28819を修正しました。Concrete 9.1 で修正済み。Concrete CMSがデータをサニタイズせずにレンダリングしていたため、アップロードされたファイル名やフォルダ名に保存されたXSSの脆弱性がありました。Concrete CMSセキュリティチームは、この脆弱性をAV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:NのCVSS v3.1ベクトルで3.5と評価しました。H1 1472270を報告してくれた solov9ev さんに感謝します。コミット11749で修正しました。
• Survey Block Controller を更新することで、バージョン 8.5 の CVE-2023-28472 を修正しました。ccmPollクッキーにconcrete.session.cookie.cookie_secure値のサポートを追加しました（開発者は安全なクッキーを使用したい場合にtrueを設定できます。これは以前Concrete 9.2で行われました。Concrete CMSセキュリティチームはこれをCVSS v3.1 vector AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N で3.4と採点しました。コミット11749で修正しました。
• バージョン8.5において、CVE-2023-28473の認証バイパスの可能性を修正しました。これはConcrete 9.2で修正済みです。Concrete CMSセキュリティチームはこの2.2をCVSS v3.1 vector AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:Nで採点しました。コミット11749で修正しました。

以上