下書き7年前っていうのが残っていたので公開しておく。
危険度「中」だから直してない人も結構居るんじゃないかなと思って公開せずにいたのだった。
シンプルなCSRFだけど、管理画面からPHPを編集できる系のCMSだと実質何でもできてしまう。こういうのってPHPあるあるだよねえ…。Javaには無いだろうし、RubyとかPerlとかもあまり無さそう。チェックしてないだけかもわからんが。
HTMLにちょっとした動的コードをPHPで埋め込む、デザイン用HTMLをアップする感覚でPHPをアップする、っていう文化があるからだろうか。
クロスサイトリクエストフォージェリの脆弱性 2015年 10月 23日
これを修正していたら、あ、直ってないじゃんっていう。
それで報告して
クロスサイトリクエストフォージェリの脆弱性 2015年 11月 13日
こちらに更新された。
自分は特に脆弱性に詳しいっていうわけではないけれども、ただ単にちゃんと脆弱性が直ったかどうか確認していたら見つけた。コミュニティが小さいとかPHPに詳しい人はEC-CUBE使ってないとかがあって、こういうのに気付ける人が他に居なかったのかな。
ざっと見た感じ、クロスサイト〜〜の脆弱性は危険度「中」になっている。
でもEC-CUBEはWordPressのように管理画面からコンテンツを変更できるんだよね…。
しかもWordPressみたいに特殊なプラグインを入れずにPHPコードが書ける。
まあ日本専用だと簡単に攻撃されないだろうけど、スルーしていた危険度が低い過去の脆弱性も全部見直して本当に直っているか確認した方がいい気がした。