株式会社日本情報化農業研究所からの情報

ディレクトリトラバーサル脆弱性があります。

影響のあるバージョン：1.8.1以降1.8.12以前のすべてのSOY CMS（ファイルマネージャーとしてelFinderを採用しているバージョン）
修正されたバージョン：1.8.13（2017年4月19日公開）

対策
以下のいずれかを行う
1. 修正されたバージョンを使用する。
2. soycms/js/elfinder/php/connector.phpを修正されたバージョンのものに置き換える

補足
- 本脆弱性を突いた攻撃を行うには管理画面へのログインが必要です。
- ログイン済みのユーザーに特殊なURLへアクセスさせることによっても攻撃が可能ですが、一般的なリンクの方法では攻撃は成功しません。
- 本脆弱性はelFinderそのものの脆弱性ではありません。