HTTP::Body::MultiPartにまずいセキュリティホールがあるので、しばらくPlack::Request::Upload使うときは気をつける。

JVNのフィード見てたらPerlモジュールのセイキュリティホールがあったので念の為確認したら思ったより危険だった。

JVNのページ: JVNDB-2013-005291 - JVN iPedia - 脆弱性対策情報データベース
セキュリティホールの詳細: #721634 - libhttp-body-perl: CVE-2013-4407: HTTP::Body::Multipart critical security bug - Debian Bug report logs

Plack::Request::Upload::filenameやPlack::Request::Upload::tempnameに、コマンドとして動作する文字列が入りうる。

Plack::Request::Upload::filenameやPlack::Request::Upload::tempnameをそのままsystem()やexec()や``やその他で使わない。

一応ディレクトリトラバーサルの対策はされてるっぽいが、コマンドとして実行されるような場合以外でもできるだけそのまま使うのはやめた方がよさそう。

あるいは、修正済みのHTTP::Bodyが出て普及するのを待つ。

Plack::Request::Upload::pathもまずい。というかこれ、Plack::Request::Upload::tempnameと同じ。