Ticket #397 (closed バグ指摘: 修正済)

Opened 12 years ago

Last modified 12 years ago

支払方法を選択せずに確認画面へ進むと不正なアクセスになる。

Reported by: homan Owned by: somebody
Priority: Milestone: EC-CUBE
Component: フロント Version: 2.3.0
Keywords: Cc: homan
修正済み:

Description

「お支払方法選択時に正常に遷移しない場合がある不具合について 」( http://www.ec-cube.net/info/081110/index.php)を実施後、支払方法を選択せずに確認画面へ進むと不正なアクセスになります

参考: http://xoops.ec-cube.net/modules/newbb/viewtopic.php?viewmode=flat&topic_id=3031&forum=11

原因は明らかですが、エラーチェックの際に支払方法が選択されていないと支払方法の比較ができないため、$pay_flagが直ちにtrueになってしまうため。

以下のようにすれば解決されるかと思いますが、 その結果セキュリティチェックを逃れることにならないか懸念しています。 (たぶん大丈夫だとは思うのですが・・・念のため確認させて下さい。)

if ($pay_flag && $arrRet['payment_id'] != "") {
    SC_Utils_Ex::sfDispSiteError(CUSTOMER_ERROR);
}

Change History

comment:1 Changed 12 years ago by nakanishi

ありがとうございます。
ご提案いただいた対応で問題ないと思います。
次期バージョンでの対応を検討させていただきます。

comment:2 Changed 12 years ago by homan

  • Status changed from new to closed
  • Resolution set to 修正済

comu-ver2では r17711 で修正済み。

comment:3 Changed 12 years ago by homan

  • Status changed from closed to reopened
  • Resolution 修正済 deleted

comu-ver2でしか解決していないので、念のため解決を差し戻しておきます。 勝手に申し訳ないです。

本番に反映されましたら、解決に変更願います。

comment:4 Changed 12 years ago by nakanishi

  • Status changed from reopened to closed
  • Resolution set to 修正済

r17712で修正完了しました。
homan様ありがとうございました。

Note: See TracTickets for help on using tickets.