質問 > 管理機能 > 配送伝票番号csv一括登録プラグイン(3.0系)の脆弱性修正に伴うカスタマイズについて |
管理機能
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
siozero |
投稿日時: 2021/6/16 12:15
対応状況: −−−
|
新米 登録日: 2021/5/13 居住地: 投稿: 4 |
配送伝票番号csv一括登録プラグイン(3.0系)の脆弱性修正に伴うカスタマイズについて [EC-CUBE] 3.0.14
[レンタルサーバ] CPI [現象] 配送伝票番号csv一括登録プラグイン(3.0系)の脆弱性対応の修正に伴いプラグインをアップデートしもともと入れていたカスタマイズを行うことを検討していますが そのカスタマイズが脆弱性対応に対して影響するのかの判断がつかず投稿させていただきました。 カスタマイズの内容はJavaScriptによるコピペ機能の追加であり、配送伝票番号から送り状番号のテキストボックスへ値をコピーさせるものです。 そのため、受注登録画面で、配送伝票番号入力のテキストボックスを送り状番号のテキストボックスの直後に表示させるように表示位置の修正とテキストボックスの追加を行っているのですが この修正が脆弱性対応に影響するのかを教えていただきたいです。 またはプラグイン修正内容の差分確認方法などはあるのでしょうか? |
balisys |
投稿日時: 2022/12/26 23:18
対応状況: −−−
|
仙人 登録日: 2020/7/5 居住地: 投稿: 397 |
Re: 配送伝票番号csv一括登録プラグイン(3.0系)の脆弱性修正に伴うカスタマイズについて >この修正が脆弱性対応に影響するのかを教えていただきたいです。
カスタマイズの内容次第なのかなと思います。 https://jvn.jp/jp/JVN79254445/ >クロスサイトスクリプティングの脆弱性 ということなので、アップデートでサニタイズの処理などなされたのかと思いますが、追加したいカスタマイズ処理がこちらの脆弱性対応の個所を無効化するなどしていなければ問題ないのではないでしょうか。 >またはプラグイン修正内容の差分確認方法などはあるのでしょうか? アップデート前に事前にバックアップとっておいた上で、アップデート後とプラグインディレクトリ内のファイル差分 比較されてみては如何でしょうか。 |
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |