バージョン選択

フォーラム

メニュー

オンライン状況

23 人のユーザが現在オンラインです。 (15 人のユーザが フォーラム を参照しています。)
登録ユーザ: 0
ゲスト: 23
もっと...

サイト内検索

質問 > 管理機能 > 以前「いたずら注文かもしれない注文が来てます。」というスレで

管理機能

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
susumu
投稿日時: 2021/5/8 15:54
対応状況: −−−
常連
登録日: 2018/12/17
居住地:
投稿: 55
以前「いたずら注文かもしれない注文が来てます。」というスレで
以前「いたずら注文かもしれない注文が来てます。」というスレ https://xoops.ec-cube.net/modules/newbb/viewtopic.php?viewmode=flat&topic_id=25580&forum=11 の回答で
クロスサイトスクリプティング攻撃を試されたのではないでしょうか?
該当の文字が見えているのであれば無害化されており問題無いかと思います。と言った記述がありました。
本日運営チームからEC-CUBE 4.0系における緊急度「高」の脆弱性発覚と対応のお願い
というメールが来ました。
上記の件だと思われます。パッチは早速当てましたが、該当の文字が見えているのであれば無害化されており問題無いといった認識でよろしいのでしょうか?
468
投稿日時: 2021/5/8 17:50
対応状況: −−−
登録日: 2008/10/26
居住地:
投稿: 2998
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
今回の脆弱性について
「不正な受注情報が作成された状態で、特定の管理画面操作をするとクロスサイトスクリプティングが発生する可能性があります。 」
と説明されていますので
ここにどこまで書いてよいか分かりませんが隠しても意味がないと思いますのであえて書きます。

該当の注文に対して<script>~<script>の文字が見えているのであれば問題無いと以前の投稿でお答えしましたが
そこがプログラムとして解釈され実行されてしまう画面が存在しているというのが今回の脆弱性の問題点です。

問題の画面はパッチの内容を見る限りでは
/app/template/admin/Order/mail_confirm.twig
のファイルのようですので
受注管理のメール通知、注文メールを送信する時の確認プレビューの所と思われます。

その為、不正な値の入力された注文に対して、
管理画面の受注一覧>受注登録>メール作成>送信内容の確認と操作を行った場合、
不正なプログラムが実行され、攻撃を受けてしまっている可能性が高いと思います。

因みに受注時の自動メール送信ではこの問題は起きないと思います。
注文メールの再送等、管理画面からメールを送信しようとしたタイミングで問題が起こると思います。
(ここのメール確認画面のプレビューでは<script>~<script>の文字は見えなります)

あと、パッチ適用前のデフォルトのECCUBE4で確認してみましたが
受注登録画面のメール送信履歴(画面遷移せずにダイアログでメールの内容が表示される箇所)、
受注一覧の出荷メール送信は問題無いようです。

もし、該当の注文に対してメールの再送や何かしらのメール送信を実施していなければ、攻撃は未遂で終わっていると思います。
ただ、それで100%大丈夫と言い切れる訳ではありませんので
可能であれば、専門の業者様に調査を依頼する等のアクションを取られたほうが良いかと思います。


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

susumu
投稿日時: 2021/5/8 18:40
対応状況: −−−
常連
登録日: 2018/12/17
居住地:
投稿: 55
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
468様ありがとうございます。
おっしゃられるようなメール送信等の操作はしていないので一安心しました。
468
投稿日時: 2021/5/8 18:54
対応状況: −−−
登録日: 2008/10/26
居住地:
投稿: 2998
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
念の為、取り急ぎの対応で管理画面のログインアカウントやパスワードくらいは
変更しておいたほうが良いかもしれません。
(IPアドレス制限まで設定しているようであれば、そこまで慌てる必要はないと思いますが)

余裕があれば、管理画面のディレクトリも変更したほうが望ましいかと思いますが
変に慌てて設定をいじってサイトが動作しなくなると困ると思いますので
出来る出来ないを含めて、その辺りの判断はご自身でお願いします。


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

susumu
投稿日時: 2021/5/9 11:00
対応状況: −−−
常連
登録日: 2018/12/17
居住地:
投稿: 55
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
ありがとうございます。
変更しました。
nanasess
投稿日時: 2021/5/9 22:44
対応状況: −−−
登録日: 2006/9/9
居住地: 大阪
投稿: 2147
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
XSS による攻撃やバックドアを作成されると、管理画面のURL変更やIP制限、パスワード変更なども意味を無さなくなってしまう恐れがあります。
上記対処をしたからといって過信は禁物ですので、会員情報や注文情報の会社名や住所、お問い合わせメッセージ覧などに、通常ではありえないような文字列があった場合は開かないようにするのが一番安全です。


----------------
大河内健太郎(Kentaro Ohkouchi)
EC-CUBE公式エバンジェリスト
スキルニル株式会社

EC-CUBE1系2系長期サポートホスティングサービス CUBE Lab
https://cubelab.info/

susumu
投稿日時: 2021/5/13 10:40
対応状況: −−−
常連
登録日: 2018/12/17
居住地:
投稿: 55
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
ありがとうございます。

注文取り消しといった処理もしないほうが良いのでしょうか?
nanasess
投稿日時: 2021/5/13 16:44
対応状況: −−−
登録日: 2006/9/9
居住地: 大阪
投稿: 2147
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
注文取り消しにするのであれば、受注詳細画面は使わずに、

受注一覧→一覧左側のチェックを入れる→対応状況の変更

から、注文取り消しにすると良いです。


----------------
大河内健太郎(Kentaro Ohkouchi)
EC-CUBE公式エバンジェリスト
スキルニル株式会社

EC-CUBE1系2系長期サポートホスティングサービス CUBE Lab
https://cubelab.info/

susumu
投稿日時: 2021/5/15 10:35
対応状況: −−−
常連
登録日: 2018/12/17
居住地:
投稿: 55
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
ありがとうございます。
取り消すときは受注一覧から操作するようにします。
スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBEペイメント

公式ストアEC-CUBE4系デザインテンプレート続々リリース中

統計情報

総メンバー数は71,530名です
総投稿数は101,307件です

投稿数ランキング

1
seasoft
7333
2
468
2998
3
AMUAMU
2712
4
nanasess
2147
5
umebius
2000
6
yuh
1612
7
red
1449
8
h_tanaka
1080
9
tsuji
936
10
fukap
907
11
shutta
835
12
tao_s
793
13 ramrun 789
14 karin 689
15 sumida 641
16
homan
633
17 DELIGHT 572
18
patapata
502
19
flealog
485
20 tonton 437


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.