Snow Monkey Forms v5.1.1 をリリースしました

ディレクトリトラバーサルの脆弱性が Snow Monkey Forms v5.1.0 以前のバージョンに見つかりました。この脆弱性を利用することで、対象サーバ上で動作するWordPressの実行権限が許す限りリクエストで指定した任意のファイルの削除が可能となります。

もし Snow Monkey Forms を利用されている方がいらっしゃいましたら、早急に最新バージョンへのアップデートをお願いします。

v5.0.7 でおこなった、ディレクトリトラバーサル脆弱性に対する修正に漏れがあり、一部の脆弱性が残っていたものとなります。

対策方法

WordPress のダッシュボードから Snow Monkey Forms を最新版にアップデートしてください。ダッシュボードに更新通知が表示されない場合は WordPress.org から最新版の Snow Monkey Forms の zip ファイルをダウンロードし、WordPress のダッシュボードから当該 zip ファイルをアップロードしてアップデートしてください。

主な変更点

メールに添付するファイルが一時ディレクトリ配下のものか検証するようにする。

この記事を書いた人

アバター画像

キタジマ タカシ

長崎県長崎市在住。地元のWeb制作会社でWebデザイナー/エンジニアとして従事した後、2015年にフリーランス [ モンキーレンチ ] として独立。WordPress のテーマやプラグイン、ライブラリ、CSS フレームワーク等、多数のプロダクトをオープンソースで開発・公開しています。

Snow Monkey オンラインコミュニティ

Snow Monkey をより良いテーマにするために、今後の機能開発等について情報共有したりディスカッションをしたりする場所です。より多くのユーザーの交流があったほうがより良いプロダクトに育っていくと思いますので、ぜひご参加ください!