キタジマ タカシ v5.0.7、v5.1.1 でディレクトリトラバーサル脆弱性の対応をおこなったのですが、まだ一時ディレクトリ以下のファイルを削除できてしまう脆弱性が残っており、対応をおこないました。
もし Snow Monkey Forms を利用されている方がいらっしゃいましたら、最新バージョンへのアップデートをお願いします。
対策方法
WordPress のダッシュボードから Snow Monkey Forms を最新版にアップデートしてください。ダッシュボードに更新通知が表示されない場合は WordPress.org から最新版の Snow Monkey Forms の zip ファイルをダウンロードし、WordPress のダッシュボードから当該 zip ファイルをアップロードしてアップデートしてください。
主な変更点
- アップロードしたファイルを一時保存するディレクトリを、ユーザー毎に作成する方式に変更
- 自分の一時ディレクトリより上の階層を参照できないように制限し、リクエストがきた段階で例外を発生させる
- なるべく不要なファイルが残らないように、フォーム入力画面表示時、送信完了時、ファイル差し替え時等に一時ディレクトリを適宜クリーンアップする
