バージョン選択

フォーラム

メニュー

オンライン状況

70 人のユーザが現在オンラインです。 (61 人のユーザが フォーラム を参照しています。)
登録ユーザ: 0
ゲスト: 70
もっと...

サイト内検索

質問 > 管理機能 > 以前「いたずら注文かもしれない注文が来てます。」というスレで

管理機能

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
susumu
投稿日時: 2021/5/8 15:54
対応状況: −−−
一人前
登録日: 2018/12/17
居住地:
投稿: 104
以前「いたずら注文かもしれない注文が来てます。」というスレで
以前「いたずら注文かもしれない注文が来てます。」というスレ https://xoops.ec-cube.net/modules/newbb/viewtopic.php?viewmode=flat&topic_id=25580&forum=11 の回答で
クロスサイトスクリプティング攻撃を試されたのではないでしょうか?
該当の文字が見えているのであれば無害化されており問題無いかと思います。と言った記述がありました。
本日運営チームからEC-CUBE 4.0系における緊急度「高」の脆弱性発覚と対応のお願い
というメールが来ました。
上記の件だと思われます。パッチは早速当てましたが、該当の文字が見えているのであれば無害化されており問題無いといった認識でよろしいのでしょうか?
468
投稿日時: 2021/5/8 17:50
対応状況: −−−
登録日: 2008/10/26
居住地:
投稿: 3217
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
今回の脆弱性について
「不正な受注情報が作成された状態で、特定の管理画面操作をするとクロスサイトスクリプティングが発生する可能性があります。 」
と説明されていますので
ここにどこまで書いてよいか分かりませんが隠しても意味がないと思いますのであえて書きます。

該当の注文に対して<script>~<script>の文字が見えているのであれば問題無いと以前の投稿でお答えしましたが
そこがプログラムとして解釈され実行されてしまう画面が存在しているというのが今回の脆弱性の問題点です。

問題の画面はパッチの内容を見る限りでは
/app/template/admin/Order/mail_confirm.twig
のファイルのようですので
受注管理のメール通知、注文メールを送信する時の確認プレビューの所と思われます。

その為、不正な値の入力された注文に対して、
管理画面の受注一覧>受注登録>メール作成>送信内容の確認と操作を行った場合、
不正なプログラムが実行され、攻撃を受けてしまっている可能性が高いと思います。

因みに受注時の自動メール送信ではこの問題は起きないと思います。
注文メールの再送等、管理画面からメールを送信しようとしたタイミングで問題が起こると思います。
(ここのメール確認画面のプレビューでは<script>~<script>の文字は見えなります)

あと、パッチ適用前のデフォルトのECCUBE4で確認してみましたが
受注登録画面のメール送信履歴(画面遷移せずにダイアログでメールの内容が表示される箇所)、
受注一覧の出荷メール送信は問題無いようです。

もし、該当の注文に対してメールの再送や何かしらのメール送信を実施していなければ、攻撃は未遂で終わっていると思います。
ただ、それで100%大丈夫と言い切れる訳ではありませんので
可能であれば、専門の業者様に調査を依頼する等のアクションを取られたほうが良いかと思います。


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

susumu
投稿日時: 2021/5/8 18:40
対応状況: −−−
一人前
登録日: 2018/12/17
居住地:
投稿: 104
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
468様ありがとうございます。
おっしゃられるようなメール送信等の操作はしていないので一安心しました。
468
投稿日時: 2021/5/8 18:54
対応状況: −−−
登録日: 2008/10/26
居住地:
投稿: 3217
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
念の為、取り急ぎの対応で管理画面のログインアカウントやパスワードくらいは
変更しておいたほうが良いかもしれません。
(IPアドレス制限まで設定しているようであれば、そこまで慌てる必要はないと思いますが)

余裕があれば、管理画面のディレクトリも変更したほうが望ましいかと思いますが
変に慌てて設定をいじってサイトが動作しなくなると困ると思いますので
出来る出来ないを含めて、その辺りの判断はご自身でお願いします。


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

susumu
投稿日時: 2021/5/9 11:00
対応状況: −−−
一人前
登録日: 2018/12/17
居住地:
投稿: 104
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
ありがとうございます。
変更しました。
nanasess
投稿日時: 2021/5/9 22:44
対応状況: −−−
登録日: 2006/9/9
居住地:
投稿: 2303
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
XSS による攻撃やバックドアを作成されると、管理画面のURL変更やIP制限、パスワード変更なども意味を無さなくなってしまう恐れがあります。
上記対処をしたからといって過信は禁物ですので、会員情報や注文情報の会社名や住所、お問い合わせメッセージ覧などに、通常ではありえないような文字列があった場合は開かないようにするのが一番安全です。
susumu
投稿日時: 2021/5/13 10:40
対応状況: −−−
一人前
登録日: 2018/12/17
居住地:
投稿: 104
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
ありがとうございます。

注文取り消しといった処理もしないほうが良いのでしょうか?
nanasess
投稿日時: 2021/5/13 16:44
対応状況: −−−
登録日: 2006/9/9
居住地:
投稿: 2303
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
注文取り消しにするのであれば、受注詳細画面は使わずに、

受注一覧→一覧左側のチェックを入れる→対応状況の変更

から、注文取り消しにすると良いです。
susumu
投稿日時: 2021/5/15 10:35
対応状況: −−−
一人前
登録日: 2018/12/17
居住地:
投稿: 104
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで
ありがとうございます。
取り消すときは受注一覧から操作するようにします。
スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBE公式 Amazon Payプラグイン

統計情報

総メンバー数は88,303名です
総投稿数は109,692件です

投稿数ランキング

1
seasoft
7365
2
468
3217
3
AMUAMU
2712
4
nanasess
2303
5
umebius
2085
6
yuh
1818
7
h_tanaka
1610
8
red
1568
9
mcontact
1240
10
tsuji
958
11
fukap
907
12
shutta
835
13
tao_s
796
14 ramrun 789
15 karin 689
16 sumida 641
17
homan
633
18 DELIGHT 572
19
patapata
502
20
flealog
485


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.