質問 > その他 > eccube2.17 脆弱性(JVN#46993816)の対応に関して |
その他
フラット表示 | 前のトピック | 次のトピック |
投稿者 | スレッド |
---|---|
ccom |
投稿日時: 2023/8/28 19:56
対応状況: 解決済
|
新米 ![]() ![]() 登録日: 2023/8/28 居住地: 投稿: 2 |
eccube2.17 脆弱性(JVN#46993816)の対応に関して ▼テンプレート
[EC-CUBE]2.17 [現象] 脆弱性対応後、#script tag escaped#となる箇所があります。 管理画面ホーム ・「【重要】必ずご確認ください」 ・PR 等(GMOのプラグインなどを利用している場合に管理機能の一部で同様になります。) 以下の脆弱性対応を反映 EC-CUBE2系におけるクロスサイトスクリプティングの脆弱性(JVN#46993816) 情報公開日:2023年 08月 17日 危険度:低 対象:Ver 2.11.0〜2.17.2-p1 https://www.ec-cube.net/info/weakness/weakness.php?id=90 こちらは、2.13では商品詳細、メールなど script_escape_exにて個別にエスケープ処理を行っているようですが、2.17の対応では、modifier.script_escapeにてエスケープを行っているようですので、 「管理画面ホーム」などの、PRなど、お知らせのiframeなどもエスケープされているようです。 こちらは、全体にかかるのでよいのかもしれませんが、2.17では意図した脆弱性の対応なのでしょうか? 2.13と2.17で脆弱性の対応の方法がことなる理由がご存じのかたがいらっしゃれば教えていただきたく思います。 |
フラット表示 | 前のトピック | 次のトピック |
題名 | 投稿者 | 日時 |
---|---|---|
» ![]() |
ccom | 2023/8/28 19:56 |
![]() |
mcontact | 2023/9/5 16:16 |
![]() |
KAJI | 2023/9/6 16:24 |
![]() |
nanasess | 2023/9/6 16:51 |
![]() |
KAJI | 2023/9/7 14:32 |
![]() |
ccom | 2023/9/7 14:48 |
![]() |
KAJI | 2023/9/8 13:25 |
