バージョン選択

フォーラム

メニュー

オンライン状況

32 人のユーザが現在オンラインです。 (22 人のユーザが フォーラム を参照しています。)
登録ユーザ: 0
ゲスト: 32
もっと...

サイト内検索

質問 > その他 > eccube2.17 脆弱性(JVN#46993816)の対応に関して

その他

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
ccom
投稿日時: 2023/8/28 19:56
対応状況: 解決済
新米
登録日: 2023/8/28
居住地:
投稿: 2
eccube2.17 脆弱性(JVN#46993816)の対応に関して
▼テンプレート
[EC-CUBE]2.17
[現象]
脆弱性対応後、#script tag escaped#となる箇所があります。
管理画面ホーム
・「【重要】必ずご確認ください」
・PR
等(GMOのプラグインなどを利用している場合に管理機能の一部で同様になります。)

以下の脆弱性対応を反映
EC-CUBE2系におけるクロスサイトスクリプティングの脆弱性(JVN#46993816)
情報公開日:2023年 08月 17日
危険度:低
対象:Ver 2.11.0〜2.17.2-p1
https://www.ec-cube.net/info/weakness/weakness.php?id=90


こちらは、2.13では商品詳細、メールなど
script_escape_exにて個別にエスケープ処理を行っているようですが、2.17の対応では、modifier.script_escapeにてエスケープを行っているようですので、
「管理画面ホーム」などの、PRなど、お知らせのiframeなどもエスケープされているようです。
こちらは、全体にかかるのでよいのかもしれませんが、2.17では意図した脆弱性の対応なのでしょうか?
2.13と2.17で脆弱性の対応の方法がことなる理由がご存じのかたがいらっしゃれば教えていただきたく思います。




mcontact
投稿日時: 2023/9/5 16:16
対応状況: −−−
登録日: 2022/1/22
居住地:
投稿: 1381
Re: eccube2.17 脆弱性(JVN#46993816)の対応に関して
> こちらは、全体にかかるのでよいのかもしれませんが、2.17では意図した脆弱性の対応なのでしょうか?
> 2.13と2.17で脆弱性の対応の方法がことなる理由がご存じのかたがいらっしゃれば教えていただきたく思います。

公式のものではないですが、
意図した対応をして検証されているから脆弱性対応としてアナウンスおよびリリースされていると思います。
2.13と2.17の対応内容が違うのは、2.13~2.17のバージョンアップの中で多くの改良が行われているからバージョン間の差異があるからと思います。


----------------
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
EC-CUBEインテグレートパートナー【ゴールド】ランク
M&I Works
URL: https://miworks.biz/
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

KAJI
投稿日時: 2023/9/6 16:24
対応状況: −−−
一人前
登録日: 2008/1/24
居住地:
投稿: 121
Re: eccube2.17 脆弱性(JVN#46993816)の対応に関して
こんにちは。
イーシーキューブの梶原です。

本件は、脆弱性の情報ですので、よろしければEC-CUBEお問い合わせまでご連絡くださいませ。

脆弱性の情報に関しては、例えば攻撃手法に関する情報といった一般向けに漏れてはいけない情報などを扱うことも多く、開発コミュニティではなく、上記お問い合わせに直接いただけると助かります。

ただし、2.12未満等のサポートしていないバージョンに関しては、概ねご自分で対応をお願いします、という回答になってしまう場合もあるので、そこはご了承ください。今回は2.13ということですので、一定ご回答できる部分はあると思います。

それでは、よろしくお願いします。
nanasess
投稿日時: 2023/9/6 16:51
対応状況: −−−
登録日: 2006/9/9
居住地:
投稿: 2314
Re: eccube2.17 脆弱性(JVN#46993816)の対応に関して
2.17.2 のコードを適用してあげると改善できると思います
https://github.com/EC-CUBE/ec-cube2/commit/cefd605bfaa1c8a6e1b1e10547e23dfca767c8c0
KAJI
投稿日時: 2023/9/7 14:32
対応状況: −−−
一人前
登録日: 2008/1/24
居住地:
投稿: 121
Re: eccube2.17 脆弱性(JVN#46993816)の対応に関して
引用:

nanasessさんは書きました:
2.17.2 のコードを適用してあげると改善できると思います
https://github.com/EC-CUBE/ec-cube2/commit/cefd605bfaa1c8a6e1b1e10547e23dfca767c8c0


とのことですので、お問い合わせの前に一度お試しください!
ccom
投稿日時: 2023/9/7 14:48
対応状況: −−−
新米
登録日: 2023/8/28
居住地:
投稿: 2
Re: eccube2.17 脆弱性(JVN#46993816)の対応に関して
nanasesssam様 KAJI様
ご確認、ご返信ありがとうございます。
改善いたしました。
脆弱性のパッチ適用後、エスケープ(エスケープ文字が表示)されてしまった為、問題がでたのかとクライント様が不安になってしまわれたようですので、ご質問させていただきました。
対応に問題なく、2.17.2のコードの適用、もしくは、エスケープをピンポイントで除外してあげることで解決できる(した)旨でご案内いたします。
ありがとうございました。
KAJI
投稿日時: 2023/9/8 13:25
対応状況: −−−
一人前
登録日: 2008/1/24
居住地:
投稿: 121
Re: eccube2.17 脆弱性(JVN#46993816)の対応に関して
解決できたとのこと、良かったです!

nanasessさんもありがとうございました。
スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBE公式 Amazon Payプラグイン

統計情報

総メンバー数は90,688名です
総投稿数は110,464件です

投稿数ランキング

1
seasoft
7369
2
468
3217
3
AMUAMU
2712
4
nanasess
2314
5
umebius
2085
6
yuh
1819
7
h_tanaka
1701
8
red
1571
9
mcontact
1381
10
tsuji
958
11
fukap
907
12
shutta
835
13
tao_s
799
14 ramrun 789
15 karin 689
16 sumida 641
17
homan
633
18 DELIGHT 572
19
patapata
502
20
flealog
485


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.