セキュリティフィックスを含むリリースで、

セキュリティフィックス

1. 記事編集画⾯およびコンテンツ⼀覧画⾯における⼊⼒データの取り扱い不備に起因した格納型クロスサイトスクリプティング

管理画面を不特定多数のユーザーに利用させている場合、baserCMSを設置しインストールせずに放置した場合に対応が必要となる脆弱性です。

バグフィックス

• 運営ユーザーが実行できないスクリプトイベントに「onerror」を追加
• ファイルアップローダーにファイル名のチェックを追加
• メインサイトの管理画面からサブサイト記事にアクセスするとURLが正しく生成されない問題を解消
• サブサイト（独自ドメイン）で作成したページがエイリアス付きサブサイトと混同される問題を修正
• BcCacheヘルパーのロード条件を調整
• PostgreSQL、SQLite環境のコンテンツ管理にてコンテンツをゴミ箱に入れた状態で新しいコンテンツを作成するとツリー構造が壊れる問題を改善
• コンテンツ管理で固定ページのタイトルを変更してもフロント側に反映されない問題を解決
• フロントから固定ページを追加する場合、urlが未入力だとSQLエラーとなる問題を改善
• メールのファイルフィールドの拡張子チェックのデフォルト値を設定

また、変更点として

• canonical無効オプション追加
• メールフィールド複製時、受信データ用テーブルを作り直す動作となっていることで、保持している受信データを削除している動作を調整
• ブログ記事一覧の速度改善

との事です。

・詳細はこちら → https://basercms.net/news/archives/886

・ダウンロードはこちら → https://basercms.net/download/index.html

※ 「過去バージョンダウンロード」の所です。（「baserCMS4.x」の所、下方にスクロールすると出て来ます。）

・アップデート方法はこちら → https://basercms.net/howtoupdate/4/4_8_0

※ baserCMS 4.8.0 アップデート方法と同等の様
※ アップデート対象フォルダは /lib/Baser/ , /theme/admin-third/

ＭＥＭＯ

XSS：クロスサイトスクリプティング

攻撃者は入力フォームなどを利用して悪意のあるスクリプトをURLなどの形で埋め込みます。ユーザーがこのURLをクリックすると、不正なスクリプトが実行され、ページの改ざんや情報漏えいなどが引き起こされます。

※ Copilot with Bing Chat にて

出典はこの辺り
　　eset-info.canon-its.jp
　　news.mynavi.jp