Snow Monkey Forms v5.0.7 をリリースしました

これはセキュリティとメンテナンスのための緊急リリースです。今すぐ更新してください。

ディレクトリトラバーサルの脆弱性が Snow Monkey Forms v5.0.6 以前のバージョンに見つかりました。この脆弱性を利用することで、悪意あるフォーム送信者は本来参照できないサーバー上のファイルを参照することができ、結果としてサーバのリソース枯渇による DoS または WordPress の再インストール(RCE)につながります。

対策方法

WordPress のダッシュボードから Snow Monkey Forms を最新版にアップデートしてください。ダッシュボードに更新通知が表示されない場合は WordPress.org から最新版の Snow Monkey Forms の zip ファイルをダウンロードし、WordPress のダッシュボードから当該 zip ファイルをアップロードしてアップデートしてください。

主な変更点

  • メールに添付するファイルが一時ディレクトリ配下のものか検証するようにする。
  • アップロードされたファイルがファイルアップロード項目のものか検証する。

この記事を書いた人

アバター画像

キタジマ タカシ

長崎県長崎市在住。地元のWeb制作会社でWebデザイナー/エンジニアとして従事した後、2015年にフリーランス [ モンキーレンチ ] として独立。WordPress のテーマやプラグイン、ライブラリ、CSS フレームワーク等、多数のプロダクトをオープンソースで開発・公開しています。

Snow Monkey オンラインコミュニティ

Snow Monkey をより良いテーマにするために、今後の機能開発等について情報共有したりディスカッションをしたりする場所です。より多くのユーザーの交流があったほうがより良いプロダクトに育っていくと思いますので、ぜひご参加ください!