PATCH 改善ファイル

2024年02月22日に公開された baserCMSにXSSをはじめとする複数の脆弱性 について、baserCMS４系の対策方法を以下に示します。

• サイト内検索機能におけるXSSの脆弱性

lib/Baser/View/Elements/site_search_form.php

SearchIndex.q のオプション escapeオプション( ,'escape' => false )を削除します。（escape オプションがなければそのままでOKです）

下記ファイルも同様に、SearchIndex.q の オプション escapeオプションを削除します。

lib/Baser/View/Elements/widgets/search.php
lib/Baser/Config/theme/bccolumn/Elements/site_search_form.php
lib/Baser/Config/theme/nada-icons/Elements/site_search_form.php
lib/Baser/Config/theme/bc_sample/Elements/widgets/search.php
theme/{利用テーマ}/Elements/site_search_form.php

• コンテンツ管理機能におけるXSSの脆弱性

lib/Baser/View/Helper/BcFormHelper.php

case 'file': の $option 'figcaption' に , 'escape' => true を追記します

以上になります。