suin.io

遂に浮上?アップローダーの脆弱。

suin2005年3月14日

公式でこんな記事を発見

http://www.xoops.org/modules/news/article.php?storyid=2114

これによると、アバターのアップロード機能に脆弱があるらしい。詳しい考察ができるまで、管理者はこの機能をOFFにすることが薦められている。イメージマネージャも信用できないユーザに使わせないようにとのこと。

The problem comes from uploading a file where you rely on the browser to set the mimetype without caring about the extension, thus allowing the user to upload an "image" e.g. with the extension .php4 that can subsequently be executed just by showing the "image"

だって。拡張子もちゃんとチェックしていると思ったのに残念。

取りあえずOFFにしておこうかなあ~

RELATED POSTS