質問 > 管理機能 > 以前「いたずら注文かもしれない注文が来てます。」というスレで |
管理機能
フラット表示 | 前のトピック | 次のトピック |
投稿者 | スレッド |
---|---|
468 |
投稿日時: 2021/5/8 17:50
対応状況: −−−
|
神 登録日: 2008/10/26 居住地: 投稿: 3217 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで 今回の脆弱性について
「不正な受注情報が作成された状態で、特定の管理画面操作をするとクロスサイトスクリプティングが発生する可能性があります。 」 と説明されていますので ここにどこまで書いてよいか分かりませんが隠しても意味がないと思いますのであえて書きます。 該当の注文に対して<script>~<script>の文字が見えているのであれば問題無いと以前の投稿でお答えしましたが そこがプログラムとして解釈され実行されてしまう画面が存在しているというのが今回の脆弱性の問題点です。 問題の画面はパッチの内容を見る限りでは /app/template/admin/Order/mail_confirm.twig のファイルのようですので 受注管理のメール通知、注文メールを送信する時の確認プレビューの所と思われます。 その為、不正な値の入力された注文に対して、 管理画面の受注一覧>受注登録>メール作成>送信内容の確認と操作を行った場合、 不正なプログラムが実行され、攻撃を受けてしまっている可能性が高いと思います。 因みに受注時の自動メール送信ではこの問題は起きないと思います。 注文メールの再送等、管理画面からメールを送信しようとしたタイミングで問題が起こると思います。 (ここのメール確認画面のプレビューでは<script>~<script>の文字は見えなります) あと、パッチ適用前のデフォルトのECCUBE4で確認してみましたが 受注登録画面のメール送信履歴(画面遷移せずにダイアログでメールの内容が表示される箇所)、 受注一覧の出荷メール送信は問題無いようです。 もし、該当の注文に対してメールの再送や何かしらのメール送信を実施していなければ、攻撃は未遂で終わっていると思います。 ただ、それで100%大丈夫と言い切れる訳ではありませんので 可能であれば、専門の業者様に調査を依頼する等のアクションを取られたほうが良いかと思います。
|
フラット表示 | 前のトピック | 次のトピック |
題名 | 投稿者 | 日時 |
---|---|---|
以前「いたずら注文かもしれない注文が来てます。」というスレで | susumu | 2021/5/8 15:54 |
» Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで | 468 | 2021/5/8 17:50 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで | susumu | 2021/5/8 18:40 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで | 468 | 2021/5/8 18:54 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで | susumu | 2021/5/9 11:00 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで | nanasess | 2021/5/9 22:44 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで | susumu | 2021/5/13 10:40 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで | nanasess | 2021/5/13 16:44 |
Re: 以前「いたずら注文かもしれない注文が来てます。」というスレで | susumu | 2021/5/15 10:35 |