• ホーム
• 導入事例
• ニュース
• MODXについて
• ダウンロード
• ドキュメント
• MODXデモサイト
• お問い合わせ

• ホーム
• ニュース
• 重要なお知らせ
• 【重要】MODX Evolution 1.0.5J-r11～1.0.10J-r2 に無認証でファイルブラウザにアクセスできる脆弱性

【重要】MODX Evolution 1.0.5J-r11～1.0.10J-r2 に無認証でファイルブラウザにアクセスできる脆弱性

以下のバージョンのMODXについて無認証でファイルブラウザにアクセスできる脆弱性が存在します。

• MODX Evolution1.0.5J-r11 ～ 1.0.10J-r2
  ※現時点の最新版になる MODX Evolution 1.0.10J-r3 では脆弱性修正済

脆弱性の影響

この脆弱性を利用すると無認証でファイルブラウザにアクセスする事ができ、ファイルブラウザでアクセスできる範囲で以下の操作を行う事ができます。

• ファイル名の変更/名前変更
• ディレクトリの作成/削除/名前変更

なお、ファイルのアップロードを行う事はできません。またアクセスできる範囲はファイルブラウザでアクセス可能な範囲に限定されるため、MODXの設定ファイル等にはアクセスできません。

想定される被害としてはファイルブラウザを利用してアップロードした画像やPDFファイルに対して削除/名前変更を行われリンク切れを起こしたり、Web上にアップロードはしたもののまだ公開前の画像を閲覧されます。

対応方法

脆弱性を修正した MODX Evolution 1.0.10J-r3 以上にバージョンアップするか、以下のパッチを適用してください。

http://code.google.com/p/modx-ja/downloads/detail?name=patch_mcpuk.zip

詳しくはパッチファイル内のreadme.txtを参照してください。

暫定対応

諸事情によりMODXのバージョンアップ/パッチ適用が直ぐに行えない場合、以下のファイルを削除(もしくはリネーム)する事により、脆弱性を回避する事ができます。

manager/media/browser/mcpuk/connectors/php/config.php

ただし、副作用としてファイルブラウザが機能しなくなります。

MODX Japan

ニュース

ダウンロード

MODX日本公式フォーラム

MODXについて

Revolution

Evolution

ドキュメント(Evo)

導入ガイド

FAQ(よくある質問)

MODXデモサイト

MODXが稼働するレンタルサーバー

MODX Japanについて

このサイトについて

活動の目的と内容

運営への協力について

貢献・支援・寄付

協賛企業

Copyright © 2010 - 2024 MODX JAPAN All rights reserved. [stat : 563.02 KB 0.0992 s 43クエリ 24ファイル]
Powerd by MODX. Sponsord by ASP@Akihabara. Design by STUDIO DOTLINE.