2022年、Concrete CMS の脆弱性 CVE-2021-22954 が発表されました。
Concrete CMSの開発元では、バージョン9以降で対応すると発表されましたが、バージョン8系への対応は見送られ、サーバーでの設定を推奨する案内がありました。
弊社でも脆弱性情報について記事を更新しています。
Concrete CMS バージョン9未満での CVE-2021-22954 への対応について
こちらの記事でも紹介してますが、バージョン8系を使用していてサーバー設定が難しい場合、脆弱性に対応するアドオンを開発しました。
Macareux Security Header Extendedアドオンです。
無料アドオンとなっておりますので、脆弱性対応にお困りの方は是非ご利用ください。
アドオンをインストールすると、管理画面 > システムと設定 > サーバー設定一覧 にSecurity Header Extendedページが作成されます。
下記のHTTPヘッダーの設定が可能です。
- Cross-Origin-Resource-Policy (CORP)
- Cross-Origin-Opener-Policy (COOP)
- Cross-Origin-Embedder-Policy (COEP)
- Access-Control-Allow-Origin
ヘッダーについての詳細は公式ドキュメント等を参照してください。
なお、これらの値を変更すると、ユーザーがサイトにアクセスできなくなる可能性がありますので、設定は自己責任で変更してください。
脆弱性対応にお困りの方はぜひご活用ください。
