Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

ファイルアップロード制御/ファイル実行制御で PHP ファイル以外も制限が必要か #5120

Closed
okazy opened this issue Aug 25, 2021 · 1 comment · Fixed by #5867
Closed

ファイルアップロード制御/ファイル実行制御で PHP ファイル以外も制限が必要か #5120

okazy opened this issue Aug 25, 2021 · 1 comment · Fixed by #5867
Assignees
@nanasess
Labels
improvement 機能改善 security security Status: discussion
Milestone
4.2.1

Comments

@okazy
Copy link
Contributor

okazy commented Aug 25, 2021
edited
Loading

概要(Overview)

EC-CUBE 4.1 でファイルアップロード制御とファイル実行制御が追加されました。

PHPファイルのアップロードと実行は制限されていますが、レンサバなどではデフォルトで perl などが実行できる環境もありますので、制御するファイルの種類を拡張する必要があるかもしれません。

期待する内容(Expect) or 要望 (Requirement)

perl など、対応が必要な拡張子を精査した上で、アップロード/実行制限ができている。

再現手順(Procedure)

環境 (environment)

  • EC-CUBE: 4.1-beta3

関連情報 (Ref)
@okazy okazy added security security improvement 機能改善 labels Aug 25, 2021
@okazy okazy added this to the 4.1 milestone Aug 25, 2021
@chihiro-adachi chihiro-adachi modified the milestones: 4.1, 4.1.x Sep 3, 2021
@shinya
Copy link
Contributor

shinya commented Oct 25, 2022

現状のブラックリスト方式をホワイトリスト方式(決められた拡張子のみアップロード可能)という形に変える方向で検討したい。

@shinya shinya modified the milestones: 4.1.x, 4.2.1 Oct 25, 2022
@nanasess nanasess mentioned this issue Nov 15, 2022
Merged
15 tasks
@nanasess nanasess self-assigned this Nov 29, 2022
This was referenced Jan 16, 2023
Closed
Closed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@nanasess nanasess

Labels
improvement 機能改善 security security Status: discussion
Projects
None yet
Milestone
4.2.1
Development

Successfully merging a pull request may close this issue.

ファイル管理で許可した拡張子以外アップロード不可に変更 nanasess/ec-cube
5 participants
@matsuoshi @nanasess @chihiro-adachi @shinya @okazy