phpMyFAQ: パストラバーサル - MediaBrowserControllerにおける任意のファイル削除

phpMyFAQは、オープンソースのFAQウェブアプリケーションです。バージョン4.1.1より前のバージョンでは、MediaBrowserController::index()メソッドがメディアブラウザのファイル削除を処理します。fileRemoveアクションがトリガーされると、ユーザーが指定したnameパラメータが、パストラバーサルの検証なしに、ベースとなるアップロードディレクトリのパスと連結されます。FILTER_SANITIZE_SPECIAL_CHARSフィルタは、HTML特殊文字（&, ', ", <, >）とASCII値が32未満の文字のみをエンコードし、../のようなディレクトリトラバーサルシーケンスを防ぎません。さらに、このエンドポイントはCSRFトークンを検証しないため、CSRF攻撃によって悪用される可能性があります。この問題はバージョン4.1.1で修正されました。