このタグの記事 1 件
iCagenda(Joomlaのイベントカレンダー拡張)3.2.1–3.9.14 / 4.0.0–4.0.7 に、未認証の任意ファイルアップロード→RCE(CVSS 10.0・KEV掲載)。公開のイベント登録フォームの添付処理で認可がview層のみに掛かり、コントローラ側で強制されていなかったと報じられている。本命の対応は『3.9.15 または 4.0.8 以降へ更新』+侵害確認。恒久的な守りは『未認証アップロード→RCE』の型を設計で潰すこと。