Claris より FileMaker Server 22.0.6 および 21.1.8 のアップデートが公開されました。

今回の更新は、主にセキュリティに関する修正が中心となっています。本記事では、公開されているリリースノートをもとに、内容を簡潔に整理してご紹介します。

※Claris FileMaker Cloud に関する情報は2026年3月26日時点まだ広報されていません。
　情報が入り次第、皆様にお知らせいたします。

■ システムスクリプトスケジュールに関するアップデート

Claris のリリースノートでは、FileMaker Server におけるシステムスクリプトスケジュールの挙動について、次のような内容が説明されています。

●システムスクリプトスケジュールで指定できる実行ファイルを制限

パストラバーサルの脆弱性により、許可された「Scripts」フォルダの外に移動する実行可能パスを使用するシステムスクリプトスケジュールを指定するとリモートコード実行が可能になる問題が修正されたと案内されています。

※）パストラバーサルとは

　 Webアプリケーションやシステムに対する攻撃手法のひとつで、本来アクセスできないはずのディレクトリやファイルに不正アクセスする脆弱性のこと

● スクリプト引数で使用できる文字の制限

あわせて、システムスクリプトの引数には

　　　& | ` < > $ % * ? および改行文字

を含めることができなくなりました。

引数の扱いをこれまでより厳密にするための修正と考えられます。

なお弊社の検証環境でテストしたところ、当該文字を引数に含めて、システムスクリプトスケジュールを作成しようとすると「スケジュールを作成できません　無効な引数」と表示され、そもそもスケジュール自体が作成できないことを確認しています。

■ Admin Console のトークン管理方法の変更

Admin Console にサインインした際の JWT トークン の扱いについても変更が行われています。

従来は localStorage に保存されていましたが、今回のアップデートにより sessionStorage のみ に保存されるようになりました。

この変更により、認証情報がブラウザ内に残り続けにくい形に変更されたものと考えられます。

■ 今回のアップデートについて

今回のアップデートの対応に関してはJVN（Japan Vulnerability Notes）においてCNSSなどの評価情報は見当たりませんでした。

ただし今回の内容をみると、セキュリティ修正として優先して検討したいアップデートだと判断しています。可能なタイミングでアップデートを実施していただくことをおすすめしています。

■ まとめ

FileMaker Server 22.0.6および21.1.8 は、次のような修正が含まれています。

・システムスクリプトスケジュールで実行できるファイルを特定フォルダ内に制限

・スクリプト引数に利用できる文字の制限

・Admin Console のJWTトークン保存先のsessionStorageに変更

新機能が中心のアップデートではありませんが、セキュリティ修正として確認しておきたい内容だと思います。もちろんアップデート前のテストは必要ですが、適切なタイミングでの適用をお勧めしたいと思います。

2023（V20）以前のバージョンはサポートが終了しているため、アップデートの対象となっていません。あわせて最新バージョンへの更新をご検討いただければと思います。

イエスウィキャンでは、引き続き FileMaker Server に関する最新情報をご案内するとともに、アップデートに関するご相談にも対応しております。

お気軽にお問い合わせください。

リリースノート22.0.6

https://help.claris.com/ja/server-release-notes/content/index.html#22.0.6

リリースノート 21.1.8

https://help.claris.com/ja/server-release-notes/content/index.html#21.1.8