Concrete CMS(旧称 concrete5)の新しいバージョン「9.2.6」「8.5.15」がリリースされました。9.2.5 がリリースされてから間をおかずに新しいバージョンのリリースとなりましたが、今回のリリースは CKEditor のアラートへの対応によるものです。
CKEditor は、Concrete CMS の記事ブロックなどで使われているオープンソースのWYSIWYGエディタです。Concrete CMS バージョン7〜9では、CKEditor 4 を使用していますが、CKEditor 4 はメンテナンスが終了することがアナウンスされており、次世代の CKEditor 5 への移行が推奨されています。同時に、CKEditorは有償のオープンソースではない CKEditor 4 LTSバージョンを発表し、CKEditor 4 を使い続けたい人は有償版に移行することを促しています。しかし、Concrete CMS はオープンソースソフトウェアですので、CKEditor 有償版をバンドルすることはできません。
今回、2月7日に CKEditor は "This CKEditor 4.22.1 (Standard) version is not secure. Consider upgrading to the latest one, 4.24.0-lts." という有償版への移行を促すアラートを全てのエディタに表示しました。この表示はWYSIWYGエディタに重なって表示されることから編集を妨げ、また CKEditor に喫緊の対応が必要な重要な脆弱性があるかのような誤解を招くことから、コアチームはこのアラートを表示しないように変更したバージョンをリリースすることにしました。それが今回リリースされた 9.2.6 と 8.5.15 になります。
アラートの停止は、CKEditor 自身に組み込まれた設定値の変更によって行なっています。また、CKEditor 自身がアラートの表示を止めたため、現在は 9.2.6 および 8.5.15 にバージョンアップしなくても、前述のアラートは表示されなくなっています。ただし、CKEditor は4月2日以降にアラートを再表示することも検討するとしており、また 9.2.6 および 8.5.15 では CKEditor 4.24.0-lts バージョンで対応された軽度な脆弱性への修正も同時に行われているため、バージョンアップの適用は引き続きご検討ください。
今後も CKEditor 4 は有償版の購入を強く促してくるとみられます。また、CKEditor 5 は 4 までとはライセンスを変更し、残念ながら MIT ライセンスで配布されている Concrete CMS と互換性のあるオープンソースライセンスで提供される見込みはないとのことです。そのため、次のメジャーバージョンとなるバージョン10では、別のエディタに置き換わる見込みとなっています。
当社では、引き続きこの問題を注視するとともに、有償版を購入してでも CKEditor を使い続けたいクライアント様への対応の準備も進めたいと考えています。
