質問 > 管理機能 > 以前「いたずら注文かもしれない注文が来てます。」というスレで |
管理機能
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
susumu |
投稿日時: 2021/5/8 15:54
対応状況: −−−
|
一人前 登録日: 2018/12/17 居住地: 投稿: 104 |
以前「いたずら注文かもしれない注文が来てます。」というスレで 以前「いたずら注文かもしれない注文が来てます。」というスレ https://xoops.ec-cube.net/modules/newbb/viewtopic.php?viewmode=flat&topic_id=25580&forum=11 の回答で
クロスサイトスクリプティング攻撃を試されたのではないでしょうか? 該当の文字が見えているのであれば無害化されており問題無いかと思います。と言った記述がありました。 本日運営チームからEC-CUBE 4.0系における緊急度「高」の脆弱性発覚と対応のお願い というメールが来ました。 上記の件だと思われます。パッチは早速当てましたが、該当の文字が見えているのであれば無害化されており問題無いといった認識でよろしいのでしょうか? |
468 |
投稿日時: 2021/5/8 17:50
対応状況: −−−
|
神 登録日: 2008/10/26 居住地: 投稿: 3217 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで 今回の脆弱性について
「不正な受注情報が作成された状態で、特定の管理画面操作をするとクロスサイトスクリプティングが発生する可能性があります。 」 と説明されていますので ここにどこまで書いてよいか分かりませんが隠しても意味がないと思いますのであえて書きます。 該当の注文に対して<script>~<script>の文字が見えているのであれば問題無いと以前の投稿でお答えしましたが そこがプログラムとして解釈され実行されてしまう画面が存在しているというのが今回の脆弱性の問題点です。 問題の画面はパッチの内容を見る限りでは /app/template/admin/Order/mail_confirm.twig のファイルのようですので 受注管理のメール通知、注文メールを送信する時の確認プレビューの所と思われます。 その為、不正な値の入力された注文に対して、 管理画面の受注一覧>受注登録>メール作成>送信内容の確認と操作を行った場合、 不正なプログラムが実行され、攻撃を受けてしまっている可能性が高いと思います。 因みに受注時の自動メール送信ではこの問題は起きないと思います。 注文メールの再送等、管理画面からメールを送信しようとしたタイミングで問題が起こると思います。 (ここのメール確認画面のプレビューでは<script>~<script>の文字は見えなります) あと、パッチ適用前のデフォルトのECCUBE4で確認してみましたが 受注登録画面のメール送信履歴(画面遷移せずにダイアログでメールの内容が表示される箇所)、 受注一覧の出荷メール送信は問題無いようです。 もし、該当の注文に対してメールの再送や何かしらのメール送信を実施していなければ、攻撃は未遂で終わっていると思います。 ただ、それで100%大丈夫と言い切れる訳ではありませんので 可能であれば、専門の業者様に調査を依頼する等のアクションを取られたほうが良いかと思います。
|
susumu |
投稿日時: 2021/5/8 18:40
対応状況: −−−
|
一人前 登録日: 2018/12/17 居住地: 投稿: 104 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで 468様ありがとうございます。
おっしゃられるようなメール送信等の操作はしていないので一安心しました。 |
468 |
投稿日時: 2021/5/8 18:54
対応状況: −−−
|
神 登録日: 2008/10/26 居住地: 投稿: 3217 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで 念の為、取り急ぎの対応で管理画面のログインアカウントやパスワードくらいは
変更しておいたほうが良いかもしれません。 (IPアドレス制限まで設定しているようであれば、そこまで慌てる必要はないと思いますが) 余裕があれば、管理画面のディレクトリも変更したほうが望ましいかと思いますが 変に慌てて設定をいじってサイトが動作しなくなると困ると思いますので 出来る出来ないを含めて、その辺りの判断はご自身でお願いします。
|
susumu |
投稿日時: 2021/5/9 11:00
対応状況: −−−
|
一人前 登録日: 2018/12/17 居住地: 投稿: 104 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで ありがとうございます。
変更しました。 |
nanasess |
投稿日時: 2021/5/9 22:44
対応状況: −−−
|
神 登録日: 2006/9/9 居住地: 投稿: 2303 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで XSS による攻撃やバックドアを作成されると、管理画面のURL変更やIP制限、パスワード変更なども意味を無さなくなってしまう恐れがあります。
上記対処をしたからといって過信は禁物ですので、会員情報や注文情報の会社名や住所、お問い合わせメッセージ覧などに、通常ではありえないような文字列があった場合は開かないようにするのが一番安全です。 |
susumu |
投稿日時: 2021/5/13 10:40
対応状況: −−−
|
一人前 登録日: 2018/12/17 居住地: 投稿: 104 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで ありがとうございます。
注文取り消しといった処理もしないほうが良いのでしょうか? |
nanasess |
投稿日時: 2021/5/13 16:44
対応状況: −−−
|
神 登録日: 2006/9/9 居住地: 投稿: 2303 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで 注文取り消しにするのであれば、受注詳細画面は使わずに、
受注一覧→一覧左側のチェックを入れる→対応状況の変更 から、注文取り消しにすると良いです。 |
susumu |
投稿日時: 2021/5/15 10:35
対応状況: −−−
|
一人前 登録日: 2018/12/17 居住地: 投稿: 104 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで ありがとうございます。
取り消すときは受注一覧から操作するようにします。 |
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |