クラウドソーシングサイト構築システム 1.6.4

パッケージ名 クラウドソーシングサイト構築システム
バージョン番号 1.6.4
概要 脆弱性対応、軽微な改善
詳細 [改善について]
管理者画面のユーザー詳細ページ上部の「進行中の可能性がある案件」のカウントに中止が決定した案件を除外するように。

[以下、脆弱性について]
特定のURLから意図しないディレクトリが生成されてしまうことが確認された為、修正を行いました。

[本不具合の影響]
特定のURLへアクセスすることで/file/thumbs/以下に意図しないディレクトリが生成されてしまう。

攻撃対象がthumb.php、影響についても空ディレクトリの生成のみと限定的なため、
システムやサーバーの情報が抜き取られるといった影響はないかと思われます。

[既に意図しないディレクトリが存在している場合の対処法]
./file/thumbs/内のディレクトリをすべて削除。

※./file/thumbs/内のディレクトリやファイルを削除してもサムネイルは再生成されるので問題ありません。


[他に効果的な対策]
各サーバーアプリケーションの接続アカウントのパスワード変更など


[適用方法]
ファイルの上書き


[差分詳細]
ディレクトリトラバーサル対策
----
変更 : /thumb.php

-----------------------------------------------------
進行中の案件の抽出に中止案件を除外
----
変更 : /custom/model/Entry.php

パッケージファイル ダウンロード
差分ファイル ダウンロード
※各ファイルはログイン後にダウンロード可能となります。