Connect-CMSの記事編集時のセキュリティ強化を行いました。
2021年5月12日 16時57分 [システム管理者]本日5月12日にConnect-CMSでのセキュリティ強化を行いました。
プラグインでWYSIWYGを使用する場合、JavaScript等を許可するかどうかの制御を行う機能があります。
この機能を「HTML記述制限」と呼びます。
「HTML記述制限」はいままで、ブログと固定記事にのみ実装していましたが、他のプラグインにも実装しました。
また、「HTML記述制限」に関する説明として、マニュアルページにも記載いたしました。
https://connect-cms.jp/manual/manager/security
Connect-CMSのアップデート手順は、Githubのwikiにあるアップデート手順ページ をご参照ください。
影響
管理者のみで運用しているサイトは基本的に影響はありません。
Connect-CMS公式サイトのように、管理者以外のユーザーが掲示板の投稿をするようなサイトには影響があります。
影響詳細
以下の掲示板等のプラグインでは、編集者権限でもJavaScript等が記述できましたが、モデレータ以上の権限がなければ、JavaScript等が記述できないように制限されます。
この制限は、「セキュリティ管理>HTML記述制限」で、設定を変更することができます。
制限を緩和する場合は、設定画面に記載している注意事項などをご理解いただいたうえで、設定していただきますよう、お願いいたします。
今回、「HTML記述制限」を反映したプラグイン
- 掲示板(記事の投稿)
- データベース(WYSIWYG型を設定して記事の投稿)
- FAQ(FAQの投稿)
- 課題管理(課題の作成)
- カレンダ(予定の投稿)
よろしくお願いいたします。