セキュリティフィックスを含むリリースで、

セキュリティフィックス

1. 記事編集画⾯におけるスラッグの取り扱い不備に起因した格納型クロスサイトスクリプティング
2. メールフォーム設定画⾯における格納型クロスサイトスクリプティング
3. 記事編集画⾯およびコンテンツ⼀覧画⾯における⼊⼒データの取り扱い不備に起因した格納型クロスサイトスクリプティング

管理画面を不特定多数のユーザーに利用させている場合、baserCMSを設置しインストールせずに放置した場合に対応が必要となる脆弱性です。

バグフィックス

• プラグイン一覧に開発者の表記にbrタグが入ってる問題を調整
• 初期ユーザー以外のシステム管理ユーザーは自分のユーザー情報を編集しようとすると運営ユーザーしか選択できなくなる問題を解決
• 利用可能バージョンの取得処理を調整
• サブフォルダ環境でログイン時のリダイレクト先が間違っている問題を改善
• 固定ページをエレメントとして読み込めない問題を改善
• メインサイトの管理画面からサブサイト記事にアクセスするとURLが正しく生成されない問題を解消
• カスタムコンテンツ：エラーメッセージに情報不足な部分がある問題を改善
• メインサイトでブログのエイリアスを作成すると、Blog->Posts（）で呼び出された記事のURLがすべて1つ目のエイリアスのURLになってしまう問題を改善
• SitesTable::findByUrl（）の判定を調整
• サブサイト（独自ドメイン）で作成したページがエイリアス付きサブサイトと混同される問題を改善
• カスタムコンテンツにてファイル項目を含むエントリーをプレビュー時にエラーとなる問題を改善
• エディタをなしに設定しても、ブログ記事の編集画面でCKEditorが選択されてしまう問題を改善
• 管理画面テーマの選択の不具合を改善
• フロント側のログインユーザーに公開期間外のアップロードファイルが表示されてしまう問題を改善

また、新機能／変更として、

• さくらのVPSのSSLに対応
•  baserCMS4系で使用していたときのパスワードが引き継げない問題を解決

との事です。

・詳細はこちら → https://basercms.net/news/archives/886

・ダウンロードはこちら → https://basercms.net/download/index.html

・アップデート方法はこちら → https://baserproject.github.io/5/ver5_tour#オートアップデート

★★ 注意！★★

baserCMS 5.1.3 にアップデートするには従来とは違った手順が必要です。
baserCMS v5.1.3 アップデートガイド を参考にしてください。

ＭＥＭＯ

XSS：クロスサイトスクリプティング

攻撃者は入力フォームなどを利用して悪意のあるスクリプトをURLなどの形で埋め込みます。ユーザーがこのURLをクリックすると、不正なスクリプトが実行され、ページの改ざんや情報漏えいなどが引き起こされます。

※ Copilot with Bing Chat にて

出典はこの辺り
　　eset-info.canon-its.jp
　　news.mynavi.jp