2021-11-05更新 : 新たにクロスサイトスクリプティング対策を追加しました。また、FixDeniedAssetsプラグインはSecurityPatchプラグインに統合されました。ver.2.585未満のバージョンをご利用の方は最新版にアップデートするか、このプラグインを適用してください。
PowerCMS X ver.2.585未満のすべてのバージョンにおけるセキュリティアップデートを提供します。
アップデートはプラグインとして提供されます。SecurityPatchプラグインを pluginsディレクトリにアップロードし、管理画面から有効化してください(FixDeniedAssetsは自動的に無効化されます)。このプラグインは、ver.2.585 以降では必要ありません。
ダウンロード
概要
アセットのパス・ファイル名のサニタイズおよび許可されないファイルへのリネームを禁止します。また、一部の画面のクロスサイトスクリプティング脆弱性とMemberプラグインのオープンリダイレクトの脆弱性をフィックスします。
- アップロードファイル名・ディレクトリ名の中のディレクトリトラバーサルのリスクにつながる文字列を削除します。
- アセットを再保存する時に、許可されない拡張子へのリネームをチェックし、エラーを返します。
- CSVからアセットをインポートする時、許可されない拡張子へのリネームをチェックし、エラーを返します。
- フォームへのファイル添付で、設問で拡張子の指定をしていない場合にシステムの環境変数で許可・不許可されているファイルが添付された時にエラーを返します。
- 部の画面のクロスサイトスクリプティング脆弱性を修正します。
- Memberプラグインのログイン時のオープンリダイレクト問題を修正します。
影響範囲
- ファイルアップロード
- アセットの保存
- アセットのインポート
- フォームへの投稿
- 会員サイトへのログイン