今年も12月は Advent Calendar 企画で多くのサイトで a-blog cms のことを書いていただくことができました。ありがとうございます。あと、Advent Calendar に載ってないが、同時期に公開されたいくつかの記事も合わせて紹介しておきます。

他にもあれば、お知らせください。

また、不定期に皆さまのブログ記事を紹介させていただきますので、 X のハッシュタグ #ablogcms をつけて POST ください。また、@ablogcms のフォローについても、よろしくお願いいたします。

a-blog cms の公式テーマである UTSUWA をアップデートいたしました。UTSUWA の最新バージョンは GitHub からダウンロード可能です。

Ver. 2.1.3

変更点

• よくあるご質問カテゴリーのエントリーをアコーディオンで表示
• メインビジュアルにスライダー設定・表示設定・コンテンツ設定を追加

Ver. 2.1.2

修正点

• ハンバーガーメニューに下線がついていたのを修正

Ver. 2.1.1

修正点

• トップページの管理ボックスの位置調整
• インポートデータを最新に更新

Ver. 2.1.0

変更点

• メインビジュアルに画像を複数設定可能に変更
• メインビジュアルに画像が複数枚設定された場合は背景をフェードインスライドに変更
• 画像が1枚の場合はメインビジュアルの高さが画面いっぱいになるよう変更
• トップページ スタッフブログをスマホ表示時にカルーセル対応

修正点

• scriptタグのカスタムフィールドでいくつか出力場所が存在しないフィールドがあったので見直し
• README.mdから開発環境についての記述をwikiに移行
• カテゴリー未選択時・Top以外の表示を修正
• 子ブログトップでページタイトルが表示されない問題を修正
• twitterアイコンを X アイコンに変更
• カスタムフィールドのogp画像のラベルを調整
• ユーザー切り替え機能で元に戻るボタンをテーマに設置

主なリリースノート内容

トップページメインビジュアル

メインビジュアルにおいて複数の画像（PC／SP）を設定することが可能になりました。また、画像上のコンテンツの配置や背景色も設定可能です。 スライダーには「フェード／スライド」の切り替えや表示時間、移動時間の設定が可能です。

よくあるご質問コンテンツ

よくあるご質問というカテゴリーが追加され、そのカテゴリー内のエントリーはカテゴリートップにアコーディオンで表示されるようになりました。

最後に

UTSUWAをはじめ、各公式テーマをより使いやすいものにするため、今後もアップデートを重ねてまいります。公式テーマに関するご意見ご要望をお待ちしております。

Ver.2.10以前のカスタマイズ

いままで管理画面のサイドバーのメニューをカスタマイズするには直接テンプレートを編集する必要がありました。項目数が多いので権限ごとに表示するメニューを分けたい場合は記述量がとても多くなってしまい大変でした。

Ver.2.10以降のカスタマイズ

テンプレートを編集しなくてもTrelloなどで採用されているカンバンボード形式でDrag and Dropでメニューを管理できるようになりました。カードを直接編集すれば、メニューのアイコンやURL、表示内容などを簡単に書き換えられます。 表示させたくないデフォルトのメニュー内容などは「表示させない」と表示されているエリアにDrag and Dropしましょう。コンフィグに設定されているないようなので、コンフィグセットやルールを利用することによって権限やブログごとに表示するメニューの内容を変更することが可能です。

使い方

管理画面のバーティカルメニューから?アイコンをクリックしドロップダウンメニューから「メニュー管理」を選択します。

メニュー管理ページに移動

いらないメニューを非表示にする

管理画面で普段使っていない項目などは非表示にすることが可能です。非表示にしたい項目をドラッグして、「表示させない」と書かれているエリアまでドラッグアンドドロップしましょう。

この時点ではまだ保存されませんので、必ず変更を反映させる場合は上にある「保存」ボタンを押して変更を保存してください。

保存すると、このように「投稿管理」から「承認通知」メニューが消えていることが確認できます。

カスタムメニューを追加する

また、この機能ではオリジナルメニューを追加することもできます。以下の「項目追加」をクリックします。

そうすると新規メニュー用の入力項目が表示されるのでそこにアイコンやタイトル、URLを設定します。グローバル変数をURLに使用することができます。

登録後は以下のようにメニュー一覧に他のメニューと同じように表示されます。これも保存ボタンを押すまではメニューに実際に反映されないので注意してください。

また自分で新たに追加したメニューに関しては編集より削除できる仕様になっています。

メニューグループの操作

また、「投稿管理」や「サイト管理」などのメニューグループのラベル名を変更したりメニューグループ同士の並び替えも可能です。

メニューグループのラベル名を変更

変更したいラベル名をクリックします。

変更したいラベル名に打ち替えて「完了」ボタンをクリックします。

メニューグループの並び替え

並び替えたいメニューグループの「ハンバーガーメニュー」をつかみドラッグ&ドロップで並び替えたいメニューグループの位置まで移動させます。

a-blog cms で複数の脆弱性が見つかりました。 すでに問題に対応したバージョンはリリースしておりますので、該当のバージョン・状況に当てはまる場合は大変お手数ですが以下のご対応をお願いいたします。

JVN識別番号

• JVN#34565930

今回は見つかった脆弱性は以下の3つです。

• メディア機能の不適切な入力検証・クロスサイトスクリプティング
• メディア機能のパストラバーサル・ディレクトリトラバーサル
• フォームログのクロスサイトスクリプティング
• エントリ編集のクロスサイトスクリプティング

メディア機能の不適切な入力検証・クロスサイトスクリプティング

内容

• 攻撃者がCMSに投稿者以上でログイン。
• メディア機能を使って不適切なSVGファイルをアップロード。
• アップロードされたSVGのURLを踏むことにより、クロスサイトスクリプティングが発生。

攻撃条件

• 攻撃者が、投稿者以上の権限でCMSにログインできること
• メディア機能が利用できること
• アップロードされた不適切なSVGファイルのURLを直接開くこと

影響を受けるバージョン

• a-blog cms Ver. 3.1.6 以下のバージョン (Ver.3.1.x系)
• a-blog cms Ver. 3.0.28 以下のバージョン (Ver.3.0.x系)
• a-blog cms Ver. 2.11.57 以下のバージョン (Ver.2.11.x系)
• a-blog cms Ver. 2.10.49 以下のバージョン (Ver.2.10.x系)
• a-blog cms Ver. 2.9.0 以下のバージョン（フィックスバージョンはありません）

対応方法

各マイナーバージョン毎にフィックスバージョンがリリースしております。 「影響を受けるバージョン」 よりも新しいフィックスバージョンにアップデートを行なってください。

メディア機能のパストラバーサル・ディレクトリトラバーサル

内容

• 攻撃者がCMSに投稿者以上でログイン。
• メディア機能のリクエストを改ざんすることで、任意のファイルを削除することが可能。

攻撃条件

• 攻撃者が、投稿者以上の権限でCMSにログインできること
• メディア機能が利用できること

影響を受けるバージョン

• a-blog cms Ver. 3.1.6 以下のバージョン (Ver.3.1.x系)
• a-blog cms Ver. 3.0.28 以下のバージョン (Ver.3.0.x系)
• a-blog cms Ver. 2.11.57 以下のバージョン (Ver.2.11.x系)
• a-blog cms Ver. 2.10.49 以下のバージョン (Ver.2.10.x系)
• a-blog cms Ver. 2.9.0 以下のバージョン（フィックスバージョンはありません）

対応方法

各マイナーバージョン毎にフィックスバージョンがリリースしております。 「影響を受けるバージョン」 よりも新しいフィックスバージョンにアップデートを行なってください。

フォームログのクロスサイトスクリプティング

内容

• 攻撃者がサイトのフォームを使用して不適切なリクエストを行う。
• 管理者がCMSにログインして、フォームのログ確認画面に移動すると、クロスサイトスクリプティングが発生。

攻撃条件

• フォームが設置されていること
• フォームログを残す設定にしていること
• 管理者が管理画面からフォームログを確認する

影響を受けるバージョン

• a-blog cms Ver. 3.1.6 以下のバージョン (Ver.3.1.x系)
• a-blog cms Ver. 3.0.28 以下のバージョン (Ver.3.0.x系)
• a-blog cms Ver. 2.11.57 以下のバージョン (Ver.2.11.x系)
• a-blog cms Ver. 2.10.49 以下のバージョン (Ver.2.10.x系)
• a-blog cms Ver. 2.9.0 以下のバージョン（フィックスバージョンはありません）

対応方法

以下テンプレートの[raw]校正オプションを削除して修正ください。

themes/system/admin/form/log.html: 148行目

修正前

<td><p><a href="mailto:{mail_to}[raw]">{mail_to}</a></p></td>

修正後

<td><p><a href="mailto:{mail_to}">{mail_to}</a></p></td>

もしくは、各マイナーバージョン毎にフィックスバージョンがリリースしております。 「影響を受けるバージョン」 よりも新しいフィックスバージョンにアップデートを行なってください。

内容

• 攻撃者が投稿者以上でログインし、エントリーの編集を行う。
• テキストユニットで「ソース」や「マークダウン」に切り替え攻撃スクリプトを保存
• エントリーを公開することで、クロスサイトスクリプティングが発生

攻撃条件

• 攻撃者が、投稿者以上の権限でCMSにログインできること
• 攻撃者が、エントリーを編集して公開できること

影響を受けるバージョン

• a-blog cms Ver. 3.1.6 以下のバージョン (Ver.3.1.x系)
• a-blog cms Ver. 3.0.28 以下のバージョン (Ver.3.0.x系)
• a-blog cms Ver. 2.11.57 以下のバージョン (Ver.2.11.x系)
• a-blog cms Ver. 2.10.49 以下のバージョン (Ver.2.10.x系)
• a-blog cms Ver. 2.9.0 以下のバージョン（フィックスバージョンはありません）

対応方法

「影響を受けるバージョン」 よりも新しいフィックスバージョンにアップデートを行った後、以下対応を行います。

詳しくは以下記事をご参照ください。
https://developer.a-blogcms.jp/blog/news/specifications-change-vars.html

オプションの有効化

private/config.system.yaml に以下行を追記ください。

strip_dangerous_tag: on # on | off 変数から標準で危険なタグ（dangerous_tagsで指定）を削除するか指定

注意事項

上記のオプションを有効にすることで、エントリー編集でscriptタグやiframeタグを保存できなくなります。 サイトの運用上、編集画面にJavaScriptを書いている場合もあると思いますので、サイトの運用方法を確認した上で有効にしてください。

また、意図してscriptタグやiframeタグを保存したい場合もあると思います。（例えばアナリティクスのスクリプトなど） この場合は、該当の変数に [allow_dangerous_tag] オプションを付与ください。

■ 表示側の変数

{hoge}[raw|allow_dangerous_tag]

■ 編集画面の変数

<textarea name="hoge">{hoge}[allow_dangerous_tag]</textarea>

最後に

この度はご迷惑をおかけしてしまい大変申し訳ございません。
該当する問題がありましたら、お早めにバージョンアップのご検討をお願いいたします。 また、迅速にご報告いただいたユーザーの皆さま、誠にありがとうございました。

今後もご報告いただいた内容に対して真摯に受け止め修正と改善を行ってまいります。 よろしくお願いいたします。

本件に関するお問い合わせ先

本件についてご不明点などありましたら以下のお問い合わせよりご連絡ください。

有限会社アップルップル
メールアドレス：info@a-blogcms.jp
お問い合わせフォーム：https://www.a-blogcms.jp/contact/