Snow Monkey Forms v5.1.2 をリリースしました

v5.0.7v5.1.1 でディレクトリトラバーサル脆弱性の対応をおこなったのですが、まだ一時ディレクトリ以下のファイルを削除できてしまう脆弱性が残っており、対応をおこないました。

もし Snow Monkey Forms を利用されている方がいらっしゃいましたら、最新バージョンへのアップデートをお願いします。

対策方法

WordPress のダッシュボードから Snow Monkey Forms を最新版にアップデートしてください。ダッシュボードに更新通知が表示されない場合は WordPress.org から最新版の Snow Monkey Forms の zip ファイルをダウンロードし、WordPress のダッシュボードから当該 zip ファイルをアップロードしてアップデートしてください。

主な変更点

  • アップロードしたファイルを一時保存するディレクトリを、ユーザー毎に作成する方式に変更
  • 自分の一時ディレクトリより上の階層を参照できないように制限し、リクエストがきた段階で例外を発生させる
  • なるべく不要なファイルが残らないように、フォーム入力画面表示時、送信完了時、ファイル差し替え時等に一時ディレクトリを適宜クリーンアップする

この記事を書いた人

アバター画像

キタジマ タカシ

長崎県長崎市在住。地元のWeb制作会社でWebデザイナー/エンジニアとして従事した後、2015年にフリーランス [ モンキーレンチ ] として独立。WordPress のテーマやプラグイン、ライブラリ、CSS フレームワーク等、多数のプロダクトをオープンソースで開発・公開しています。

Snow Monkey オンラインコミュニティ

Snow Monkey をより良いテーマにするために、今後の機能開発等について情報共有したりディスカッションをしたりする場所です。より多くのユーザーの交流があったほうがより良いプロダクトに育っていくと思いますので、ぜひご参加ください!