セキュリティフィックスを含むリリースで、

セキュリティフィックス

1. 記事編集画⾯におけるスラッグの取り扱い不備に起因した格納型クロスサイトスクリプティング
2. メールフォーム設定画⾯における格納型クロスサイトスクリプティング
3. エラーページ⽣成処理の不備に起因した反射型クロスサイトスクリプティング
4. 記事編集画⾯およびコンテンツ⼀覧画⾯における⼊⼒データの取り扱い不備に起因した格納型クロスサイトスクリプティング

管理画面を不特定多数のユーザーに利用させている場合、baserCMSを設置しインストールせずに放置した場合に対応が必要となる脆弱性です。

バグフィックス

• 運営ユーザーが実行できないスクリプトイベントに「onerror」を追加
• コンテンツ一覧でコンテンツを新規登録する際の通知メッセージをサニタイズ
• ダッシュボードの受信メールのメールフォーム表示名についてサニタイズ
• アップデート可能なバージョンの数量カウントが間違っていたため調整
• コンテンツ管理でゴミ箱に入れた際、ツリー構造が壊れてしまう問題を改善

との事です。

・詳細はこちら → https://basercms.net/news/archives/886

・ダウンロードはこちら → https://basercms.net/download/index.html

※ 「過去バージョンダウンロード」の所です。（「baserCMS5.x」の所、下方にスクロールすると出て来ます。）

・アップデート方法はこちら → https://baserproject.github.io/5/ver5_tour#オートアップデート

★★ 注意！★★

baserCMS 5.0.21 にアップデートするには従来とは違った手順が必要です。
baserCMS v5.1.0 アップデートガイド を参考にしてください。こちらに baserCMS 5.0.20 へのアップデート手順が説明されていますが、5.0.21も同様となります。

ＭＥＭＯ

XSS：クロスサイトスクリプティング

攻撃者は入力フォームなどを利用して悪意のあるスクリプトをURLなどの形で埋め込みます。ユーザーがこのURLをクリックすると、不正なスクリプトが実行され、ページの改ざんや情報漏えいなどが引き起こされます。

※ Copilot with Bing Chat にて

出典はこの辺り
　　eset-info.canon-its.jp
　　news.mynavi.jp