Ticket #2311 (closed バグ指摘: 修正済)
規約ページを経由せずに会員登録(入力ページ)が表示できてしまう
| Reported by: | shutta | Owned by: | shutta |
|---|---|---|---|
| Priority: | 中 | Milestone: | EC-CUBE2.13.0 |
| Component: | フロント | Version: | 2.12.5 |
| Keywords: | Cc: | ||
| 修正済み: | yes |
Description
コミュニティにて、下記のご報告を頂いた。
【2.12.5】規約ページを経由せずに会員登録(入力ページ)を表示できる
http://xoops.ec-cube.net/modules/newbb/viewtopic.php?topic_id=13069&forum=8[[BR]]
-------------
EC-CUBE2.12.5
-------------
お世話になります。
以下のスレッドの回答中に不具合を見つけたので報告します。
http://xoops.ec-cube.net/modules/newbb/viewtopic.php?topic_id=13068&forum=10
LC_Page_Entry にて、規約ページからの遷移でない場合にエラーとする処理がありますが、判定が誤っているため規約を経由しなくとも会員登録出来てしまいます。
function lfCheckReferer(&$post, $referer) {
if (SC_Display_Ex::detectDevice() !== DEVICE_TYPE_MOBILE
&& empty($post)
&& (preg_match('/kiyaku.php/', basename($referer)) === 0)) {
return false;
}
return true;
}
以下のように$postのチェック処理を変更するか、この関数に渡す引数を$arrFormではなく、$_POSTに変更すれば解決します。
↓
function lfCheckReferer(&$post, $referer) {
if (SC_Display_Ex::detectDevice() !== DEVICE_TYPE_MOBILE
&& SC_Utils_Ex::isBlank($post) // ★
&& (preg_match('/kiyaku.php/', basename($referer)) === 0)) {
return false;
}
return true;
}
Change History
comment:1 Changed 13 years ago by shutta
- Owner changed from somebody to shutta
- Status changed from new to assigned
comment:4 follow-up: ↓ 5 Changed 13 years ago by m_uehara
- 修正済み unset
会員登録(入力ページ)を開いた状態で、
ヘッダーでログインを行うと、不正なページ移動と表示されました。
ご確認のほどよろしくお願いいたします。
Note: See
TracTickets for help on using
tickets.
