Concrete CMS バージョン9未満での CVE-2021-22954 への対応について

菱川拓郎
菱川拓郎

MITRE が Concrete CMS バージョン9で修正された脆弱性 CVE-2021-22954 の情報を公開しました。バージョン8はサポート中のバージョンであるとはいえ、こちらの脆弱性が注意喚起レベル(CVSS 3.1)であることも踏まえ、修正は行われないことになりました。ただし、Concrete CMS 開発元からサーバー設定にて脆弱性の緩和措置をとることを推奨するお知らせが出ていますので、本記事にて日本語でも注意喚起したいと思います。

バージョン8系を引き続きお使いの方で、本脆弱性に対応したい方は、サーバー設定にてクロスオリジンリソースポリシー(Cross-Origin-Resource-Policy ヘッダー)で same-site または same-origin を指定するようにしてください。

Nginx では、 location ブロックに add_header Cross-Origin-Resource-Policy "same-origin";
Apache では、 .htaccess などで Header set Cross-Origin-Resource-Policy "same-origin"

を追加してください。

詳しくは、公式サイトの記事 CVE-2021-22954 and mitigations below Concrete Version 9 もご参照ください。

ご参考になれば幸いです。

3月28日追記

サーバー設定にて対応することが難しい、またはアドオンで手軽に対応したいというニーズに応え、無料のアドオンを用意しました。こちらの使用もご検討ください。

Macareux Security Header Extended