Concrete CMS(旧称 concrete5)の新しいバージョン「9.3.3」「8.5.18」がリリースされました。9.3.3には1件の新機能といくつかの機能改善、バグフィクス、セキュリティ脆弱性の修正が含まれます。また、8.5.18にはバグフィクスとセキュリティ脆弱性の修正が含まれます。いずれも注意レベルの脆弱性のため緊急性はありませんが、9.3.3未満のバージョン9、8.5.18未満のバージョン8をお使いの方はバージョンアップをご検討ください。
9.3.3の新機能
- スマホからページの追加ができるようになりました
9.3.3の主な機能改善
- インストール速度が向上しました
- ユーザー検索で検索プリセットを適用した際に正しく検索結果がエクスポートされるようになりました
- スマホから編集中にダイアログやパネルが画面外にはみ出さなくなりました
- HTTPSリクエスト時にCookieに secure 属性が自動で適用されるようになりました
- ファイル選択画面で1ページに表示されるファイル数が設定可能になりました
- テキストフィールドのインデックスがエンティティのリフレッシュ後に消える問題が修正されました
9.3.3の主なバグフィクス
- スマホで編集メニューが動作していなかった問題が修正されました
- ページリストブロックでカスタムトピックが保存されない問題が修正されました
- 言語切り替えブロックで言語を切り替える際に発生しうるエラーが修正されました
- このページをシェアブロックで印刷ボタンが動作していなかった問題が修正されました
9.3.3の開発者向けアップデート
- 翻訳ライブラリのパーサーが拡張可能になりました
9.3.3のセキュリティアップデート
- CVE-2024-4350 : RSS表示ブロックにおける格納型XSSが修正されました
- CVE-2024-4353 : ボード名の入力フィールドにおける格納型XSSが修正されました
- CVE-2024-7394 : ボードのインスタンス名をサニタイズすることによって getAttributeSetName() における格納型XSSが修正されました
- CVE-2024-7512 : ボードのインスタンス名をサニタイズすることによって格納型XSSが修正されました
8.5.18のバグ修正
- デフォルトでチェックされている真偽値ページ属性が、チェックされていない状態で保存されていてもチェックされた状態で表示されるバグを修正
- 特定の条件下でRedisを使用してセッションを保存しようとした際の問題を修正
8.5.18のセキュリティアップデート
- CVE-2024-4350 : RSS表示ブロックにおける格納型XSSが修正されました
- CVE-2024-7394 : ボードのインスタンス名をサニタイズすることによって getAttributeSetName() における格納型XSSが修正されました
今回のリリースでは、弊社エンジニアが行なった1件の新機能追加、4件の機能改善、4件のバグ修正が含まれています。また、その他のバグ報告でもリリースに貢献しています。これらはアプリケーション保守サービスにご契約いただいている皆様からのご協力で成り立っております。いつもありがとうございます。バージョンアップ作業の代行をご希望の方は、弊社のアプリケーション保守サポートサービスもご検討ください。
