▼テンプレート
[EC-CUBE]2.17
[現象]
脆弱性対応後、#script tag escaped#となる箇所があります。
管理画面ホーム
・「【重要】必ずご確認ください」
・PR
等（GMOのプラグインなどを利用している場合に管理機能の一部で同様になります。）

以下の脆弱性対応を反映
EC-CUBE2系におけるクロスサイトスクリプティングの脆弱性(JVN#46993816)
情報公開日：2023年 08月 17日
危険度：低
対象：Ver 2.11.0〜2.17.2-p1
https://www.ec-cube.net/info/weakness/weakness.php?id=90


こちらは、2.13では商品詳細、メールなど
script_escape_exにて個別にエスケープ処理を行っているようですが、2.17の対応では、modifier.script_escapeにてエスケープを行っているようですので、
「管理画面ホーム」などの、PRなど、お知らせのiframeなどもエスケープされているようです。
こちらは、全体にかかるのでよいのかもしれませんが、2.17では意図した脆弱性の対応なのでしょうか？
2.13と2.17で脆弱性の対応の方法がことなる理由がご存じのかたがいらっしゃれば教えていただきたく思います。

> こちらは、全体にかかるのでよいのかもしれませんが、2.17では意図した脆弱性の対応なのでしょうか？
> 2.13と2.17で脆弱性の対応の方法がことなる理由がご存じのかたがいらっしゃれば教えていただきたく思います。

公式のものではないですが、
意図した対応をして検証されているから脆弱性対応としてアナウンスおよびリリースされていると思います。
2.13と2.17の対応内容が違うのは、2.13～2.17のバージョンアップの中で多くの改良が行われているからバージョン間の差異があるからと思います。

----------------
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
EC-CUBEインテグレートパートナー【ゴールド】ランク
M&I Works
URL: https://miworks.biz/
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

こんにちは。
イーシーキューブの梶原です。

本件は、脆弱性の情報ですので、よろしければEC-CUBEお問い合わせまでご連絡くださいませ。

脆弱性の情報に関しては、例えば攻撃手法に関する情報といった一般向けに漏れてはいけない情報などを扱うことも多く、開発コミュニティではなく、上記お問い合わせに直接いただけると助かります。

ただし、2.12未満等のサポートしていないバージョンに関しては、概ねご自分で対応をお願いします、という回答になってしまう場合もあるので、そこはご了承ください。今回は2.13ということですので、一定ご回答できる部分はあると思います。

それでは、よろしくお願いします。

2.17.2 のコードを適用してあげると改善できると思います
https://github.com/EC-CUBE/ec-cube2/commit/cefd605bfaa1c8a6e1b1e10547e23dfca767c8c0

引用：

とのことですので、お問い合わせの前に一度お試しください！

nanasesssam様　KAJI様
ご確認、ご返信ありがとうございます。
改善いたしました。
脆弱性のパッチ適用後、エスケープ（エスケープ文字が表示）されてしまった為、問題がでたのかとクライント様が不安になってしまわれたようですので、ご質問させていただきました。
対応に問題なく、2.17.2のコードの適用、もしくは、エスケープをピンポイントで除外してあげることで解決できる（した）旨でご案内いたします。
ありがとうございました。

解決できたとのこと、良かったです！

nanasessさんもありがとうございました。