Concrete CMS(旧称 concrete5)の新しいバージョン「9.4.8」がリリースされました。
9.4.8の主な機能改善
- 多くの権限設定が行われているサイトのパフォーマンスを改善しました。
9.4.8のセキュリティアップデート
今回修正された脆弱性は、Concrete CMS バージョン9が対象です。バージョン8に対する修正はありません。
- CVE-2026-3452 を修正しました。修正前は、認証された管理者がブロック設定フィールドに攻撃者が制御するシリアル化データを保存できることで、リモートコード実行に対して脆弱でした。Concrete CMSセキュリティチームは、この脆弱性をCVSS v.4.0スコア8.9と評価しました。
- CVE-2026-3244 を修正しました。修正前は、検索ブロックにクロスサイトスクリプティングの脆弱性が存在し、認証された管理者が悪意のあるJavaScriptを挿入する可能性がありました。Concrete CMSセキュリティチームは、この脆弱性をCVSS v.4.0スコア4.8と評価しました。
- CVE-2026-3242 を修正しました。修正前は、言語切替ブロックにクロスサイトスクリプティングの脆弱性が存在し、認証された管理者が悪意のあるJavaScriptを挿入する可能性がありました。Concrete CMSセキュリティチームは、この脆弱性をCVSS v.4.0スコア4.8と評価しました。
- CVE-2026-3241 及び CVE-2026-3240 を修正しました。修正前は、レガシーフォームブロックにクロスサイトスクリプティングの脆弱性が存在し、認証された管理者が悪意のあるJavaScriptを挿入する可能性がありました。Concrete CMSセキュリティチームは、この脆弱性をCVSS v.4.0スコア4.8と評価しました。
- CVE-2026-2994 アンチスパム許可リスト設定画面のCSRF脆弱性を修正しました。Concrete CMSセキュリティチームは、この脆弱性をCVSS v.4.0スコア2.3と評価しました。
バージョンアップ作業の代行をご希望の方は、弊社のアプリケーション保守サポートサービスもご検討ください。
