• ホーム
• 導入事例
• ニュース
• MODXについて
• ダウンロード
• ドキュメント
• MODXデモサイト
• お問い合わせ

• ホーム
• ニュース
• Evolutionリリース情報
• MODx Evolution 1.0.4J-r5～1.0.0J の脆弱性修正パッチをリリースします

MODx Evolution 1.0.4J-r5～1.0.0J の脆弱性修正パッチをリリースします

MODx Evolution 1.0.5/1.0.5Jでは複数の脆弱性が修正されました。この修正を過去のバージョンへさかのぼって適用できるパッチをリリースします。

パッチがサポートするバージョンは日本語版MODx Evolution 1.0.4J-r5 ～1.0.0J です。今回の脆弱性は1.0.5(本家版)/1.0.5Jにアップデートすることで解決されるものですが、事情によりコアのアップデートに踏み切れない場合は、今回のパッチの適用を検討してください。
（※脆弱性が発動するには条件があります。「MODxをインストールしているだけで危険」というわけではありません。下記の記事をよく読み、該当するような運用を実際に行なっているか確認のうえで、対応の必要をご検討ください）

修正される脆弱性

修正される脆弱性は全部で3件です。

• [#2787] Fix XSS vuln. in image editor
  影響を受けるバージョン：1.0.4J-r2 ～ 1.0.0J
  ファイルブラウザ内蔵のイメージエディタにXSS問題が存在します。MODx管理画面にログインしていることが条件になるため、MODx管理画面へログイン中のブラウザ上で不用意に他のサイトへアクセスしなければこの問題のリスクを軽減できます。
  ※この脆弱性はMODx1.0.4J-r3以降で修正済みです。

• [#3437] Fix vulnerability in AjaxSearch allowing attacker to view arbitrary files (JVN#95385972)
  影響を受けるバージョン：1.0.4J-r5 ～ 1.0.3J-r2
  AjaxSearchで利用できるBindingの@FILEコマンドに問題があり、任意のファイルへアクセスすることが可能です。ただし、@FILEコマンドを利用していない場合(自作のテンプレートをファイルとして管理しない場合・configセットを用いない場合)はこの問題の影響を受けません。また、MODxコアやDittoで利用できる@FILEコマンドには問題ありません。

• [#3429] Fix SQL injection vulnerability in AjaxSearch allowing attacker to execute arbitrary PHP code (JVN#54092716)
  影響を受けるバージョン：1.0.4J-r5 ～ 1.0.3J-r2
  AjaxSearchの任意のスニペットを呼び出す処理にSQLインジェクション問題が存在します。ただし、AjaxSearch内でPHxを利用していない場合、この問題の影響を受けません。また、Ditto等で利用できるPHxは問題ありません。

MODxの各バージョンに対するパッチ

• [MODx 1.0.0J] modx-1.0.0J_patch110122.zip
• [MODx 1.0.1J] modx-1.0.1J_patch110122.zip
• [MODx 1.0.2J] modx-1.0.2J_patch110122.zip
• [MODx 1.0.3J] modx-1.0.3J_patch110122.zip
• [MODx 1.0.3J-r1] modx-1.0.3J-r1_patch110122.zip
• [MODx 1.0.3J-r2] modx-1.0.3J-r2_patch110122.zip
• [MODx 1.0.4J] modx-1.0.4J_patch110122.zip
• [MODx 1.0.4J-r1] modx-1.0.4J-r1_patch110122.zip
• [MODx 1.0.4J-r2] modx-1.0.4J-r2_patch110122.zip
• [MODx 1.0.4J-r3] modx-1.0.4J-r3_patch110122.zip
• [MODx 1.0.4J-r4] modx-1.0.4J-r4_patch110122.zip
• [MODx 1.0.4J-r5] modx-1.0.4J-r5_patch110122.zip

 注意点

• 過去にリリースされたパッチが全て同梱されています(詳しくは同梱しているreadme.txtを参照)。
• パッチは日本語版MODx用です。
• MODx 1.0.5(本家版)/1.0.5J はすでに脆弱性は修正されているため、パッチの適用は必要ありません。
• パッチによってはinstallディレクトリのファイルも同梱していますが、通常は必要ありません。再インストール可能な状態でシステムまるごとバックアップをとっている場合などにご利用ください。

MODX Japan

ニュース

ダウンロード

MODX日本公式フォーラム

MODXについて

Revolution

Evolution

ドキュメント(Evo)

導入ガイド

FAQ(よくある質問)

MODXデモサイト

MODXが稼働するレンタルサーバー

MODX Japanについて

このサイトについて

活動の目的と内容

運営への協力について

貢献・支援・寄付

協賛企業

Copyright © 2010 - 2024 MODX JAPAN All rights reserved. [stat : 631 KB 0.0916 s 53クエリ 25ファイル]
Powerd by MODX. Sponsord by ASP@Akihabara. Design by STUDIO DOTLINE.