Concrete CMS(旧称 concrete5)の新しいバージョン「9.4.0」がリリースされました。9.4.0にはセキュリティ脆弱性の修正が含まれます。
9.4.0の主な新機能
- エラー表示機能にて、エラーの種別により挙動を変更することができるようになったり、より見やすいデバッグページが表示されるようになるなど、大幅に改善されました。
- ログ機能が大幅に改善され、レポートページから各エラーが発生したページやその時のユーザーへのリンクが追加されました。
- Atomikテーマで利用できるスキンが5つに増えました。
- エラーログの改善、コマンドラインでのエラー表示、バッチが失敗した際の再開など、タスク機能の改善が行われました。
- 管理画面のページ検索から、キャッシュ設定やページタイプ、ページテンプレートの一括変更ができるようになりました。
- 管理画面テーマがダークモードに対応しました。
- Open Graph に対応しました。
- コンテンツのインポート・エクスポートが改善し、多言語ページマッピング、追加URL、外部URLなどが新たにサポートされました。
- ファイルマネージャーの一覧でダウンロード数が表示できるようになりました。
9.4.0の主な機能改善
- PHP8.4で動作確認済みです。
- AWS S3などの外部ファイルストレージを利用する際のパフォーマンスを改善しました。
- 新しいConfigキー misc.img_src_absolute が追加されました。true に設定することで、ファイルマネージャーのファイルがフルURLで表示されます。メール送信時などに便利です。
- ページのスケジュール公開の設定時、誤ってページを即時公開しないように、開始日が必須項目になりました。
- 様々なパフォーマンスの改善が行われました。
9.4.0の主なバグフィクス
- ファイルマネージャーでフォルダに移動する際に移動できない場合があるバグが修正されました。
- 記事ブロックでサイズを指定して画像を表示する際に表示が崩れる場合があるバグが修正されました。
9.4.0のセキュリティアップデート
- ファイルマネージャーのフォルダ関連機能にある蓄積型XSS脆弱性(CVE-2025-0660)が修正されました。Concrete CMS セキュリティチームはこの脆弱性の CVSS v4.0 スコアを 4.8( CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N)としています。 バージョン8には影響しません。
- 住所属性に関連するCSRF及びXSS脆弱性(CVE-2025-3153)が修正されました。Concrete CMS セキュリティチームはこの脆弱性の CVSS v4.0 スコアを 5.1(CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L)としています。バージョン8にも影響しますが、先行して修正版がリリースされています。
今回のリリースでは、弊社エンジニアが行なった1件の新機能、6件の機能改善、2件のバグ修正、1件の開発者向けアップデートが含まれています。また、その他のバグ報告でもリリースに貢献しています。これらはアプリケーション保守サービスにご契約いただいている皆様からのご協力で成り立っております。いつもありがとうございます。バージョンアップ作業の代行をご希望の方は、弊社のアプリケーション保守サポートサービスもご検討ください。
