キタジマ タカシ これはセキュリティとメンテナンスのための緊急リリースです。今すぐ更新してください。
ディレクトリトラバーサルの脆弱性が Snow Monkey Forms v5.0.6 以前のバージョンに見つかりました。この脆弱性を利用することで、悪意あるフォーム送信者は本来参照できないサーバー上のファイルを参照することができ、結果としてサーバのリソース枯渇による DoS または WordPress の再インストール(RCE)につながります。
対策方法
WordPress のダッシュボードから Snow Monkey Forms を最新版にアップデートしてください。ダッシュボードに更新通知が表示されない場合は WordPress.org から最新版の Snow Monkey Forms の zip ファイルをダウンロードし、WordPress のダッシュボードから当該 zip ファイルをアップロードしてアップデートしてください。
主な変更点
- メールに添付するファイルが一時ディレクトリ配下のものか検証するようにする。
- アップロードされたファイルがファイルアップロード項目のものか検証する。
