2021-05-10 プラグインをアップデートしました(//から始まるURLをreturn_urlに指定した時のオープンリダイレクト問題の修正)。環境のアップデートをお願いします。
PowerCMS X ver.2.571未満のすべてのバージョンにおけるセキュリティアップデートを提供します。
アップデートはプラグインとして提供されます。FixDeniedAssetsプラグインを pluginsディレクトリにアップロードし、管理画面から有効化してください。このプラグインは、ver.2.571 以降では必要ありません。
FixDeniedAssetsプラグイン
概要
アセットのパス・ファイル名のサニタイズおよび許可されないファイルへのリネームを禁止します。また、一部の画面のクロスサイトスクリプティング脆弱性とMemberプラグインのオープンリダイレクトの脆弱性をフィックスします。
- アップロードファイル名・ディレクトリ名の中のディレクトリトラバーサルのリスクにつながる文字列を削除します。
- アセットを再保存する時に、許可されない拡張子へのリネームをチェックし、エラーを返します。
- CSVからアセットをインポートする時、許可されない拡張子へのリネームをチェックし、エラーを返します。
- フォームへのファイル添付で、設問で拡張子の指定をしていない場合にシステムの環境変数で許可・不許可されているファイルが添付された時にエラーを返します。
- 部の画面のクロスサイトスクリプティング脆弱性を修正します。
- Memberプラグインのログイン時のオープンリダイレクト問題を修正します。
影響範囲
- ファイルアップロード
- アセットの保存
- アセットのインポート
- フォームへの投稿
- 会員サイトへのログイン