2021-03-31 プラグインをアップデートしました。環境のアップデートをお願いします。
PowerCMS X ver.2.55未満のすべてのバージョンにおけるセキュリティアップデートを提供します。
アップデートはプラグインとして提供されます。FixDeniedAssetsプラグインを pluginsディレクトリにアップロードし、管理画面から有効化してください。このプラグインは、ver.2.55 以降では必要ありません。
FixDeniedAssetsプラグイン
概要
アセットのパス・ファイル名のサニタイズおよび許可されないファイルへのリネームを禁止します。
- このプラグインは、ver.2.55 以降では必要ありません。
- アップロードファイル名・ディレクトリ名の中のディレクトリトラバーサルのリスクにつながる文字列を削除します。
- アセットを再保存する時に、許可されない拡張子へのリネームをチェックし、エラーを返します。
- CSVからアセットをインポートする時、許可されない拡張子へのリネームをチェックし、エラーを返します。
- フォームへのファイル添付で、設問で拡張子の指定をしていない場合にシステムの環境変数で許可・不許可されているファイルが添付された時にエラーを返します。
影響範囲
- ファイルアップロード
- アセットの保存
- アセットのインポート
- フォームへの投稿