JPCERT/CCにて、JVN#68340046 intra-mart におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN68340046/
が報告されました。
- 脆弱性の内容
ログアウト処理にオープンリダイレクトの脆弱性が存在し、細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる可能性があります。
結果として、フィッシングなどの被害にあう可能性があります。
アクセスするクライアントのログイン状態に関係なく、URLにアクセスするだけでリダイレクトされるので容易に攻撃に利用される可能性があります。
- 対象製品
- intra-mart WebPlatform / AppFramework Ver 6.0
- intra-mart WebPlatform / AppFramework Ver 6.1
- intra-mart WebPlatform / AppFramework Ver 7.0
- intra-mart WebPlatform / AppFramework Ver 7.1
- intra-mart WebPlatform / AppFramework Ver 7.2
上記製品をご利用のお客様は、例外なく、以下の対処方法を必ず実施する必要があります。
※intra-mart Accel PlatformやVer5.1以前のBaseModule/Frameworkでは本脆弱性は存在しませんので対象外です。
- 対処方法
- intra-mart WebPlatform / AppFramework Ver7.2
4/11にリリースのVer7.2.7 にてすでに対応済みです。 - intra-mart WebPlatform / AppFramework Ver7.1~Ver6.0
Ver7.2.7を適用できないお客様は、以下の個別モジュールをご適用ください。
個別モジュールは、パッチの適用状況に関わらず適用可能です。
http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1199
以下の個別モジュールをご適用ください。
個別モジュールは、パッチの適用状況に関わらず適用可能です。
Ver.6.0用:http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1195
Ver.6.1用:http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1196
Ver.7.0用:http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1197
Ver.7.1用:http://newsupport.intra-mart.jp/patch/download/patch_info.php?patch_cd=1198 - intra-mart WebPlatform / AppFramework Ver7.2
- 影響範囲
本修正で、intra-martからのログアウト処理にて、本パッチで新たに提供された設定ファイルで定義されたURLのみ遷移するように制限する処理が加えられています。
それ以外の変更はありませんので、ログアウト処理を独自にカスタマイズしていない限り、現在ご利用のシステムに影響を与えることはありません。
ログアウト処理を独自にカスタマイズされている環境に対しては、十分な検証の上、本パッチの適用をご検討ください。
