【解決済】【重大】URLからのお客様住所などの流出に関して

[irman]

——————————————-
WordPress のバージョン：5.9.3
Welcart のバージョン：2.6.5.2204201
PHP のバージョン：7.4.25
Welcart専用の拡張プラグインとバージョン：プラグインの使用は無し
ご利用の親テーマとバージョン :Welcart Basic 1.4.3
ご利用の子テーマとバージョン :子テーマは未使用
症状を確認したブラウザ：全てのブラウザを対象とする
サーバー【重要】：Xserver
——————————————–

Welcartで構築されたサイトのトップページのサイトURLに「wp-admin/admin.php?page=usces_orderlist&order_action=pdfout&noheader=true&order_id=1000&type=nohin」
などとIDを指定すると、他人の納品書、見積書、領収書などがログインを行わずとも閲覧できてしまう。

これによりBotなどを用いた攻撃が可能になってしまう。
せめて、購入者のアカウントやwordpreesにログインしているユーザーのみに限定する必要があると思います。

これによる情報漏洩の被害は重大なものだと思います。
緊急に修正をお願いいたします。

[sagawa]

こんにちは。
他の人が、受注情報を見ることはできないようになっております。

Welcartで構築されたサイトのトップページのサイトURLに「wp-admin/admin.php?page=usces_orderlist&order_action=pdfout&noheader=true&order_id=1000&type=nohin」
などとIDを指定すると、他人の納品書、見積書、領収書などがログインを行わずとも閲覧できてしまう。

こちらにつきまして、まずは以下の内容を確認させてください。
「ここでのログインを行わずとも」というのはというのは会員ログインしていない状態という事かと思います。
この状態で、指定のURLを見ることができる条件は以下の通りですので、これらに該当していないでしょうか？
1. WordPressの管理者としてログインしている状態で、指定のURLを開いている
　※管理者としてログインしている状態であると閲覧できます。
2. セッション情報に会員ログインした時の情報が残っている。
　※会員ログインしている人が購入した受注であるかどうかをチェックしています。
　そのため、会員ログインしている人以外の各種書類は見ることができないようになっています。

再度、管理者としてログインしていない状態、かつ、セッション情報が残っていない状態（ブラウザをいったん閉じて、再度たちあげる。もしくは別ブラウザで開く）でご確認いただけますでしょうか？

[irman]

早速のご連絡ありがとうございます。
先程ログインを行ったことが一度もないブラウザで試しました。
しかし、閲覧できてしまいました…

また、他会社のWelcartで構築されたサイト(もちろんログイン歴は無)の領収書の閲覧もできたことから何かしらの不具合があるのでは無いかと思うのですがいかがでしょうか。

[sagawa]

irman様

ご確認ありがとうございます。
弊社の環境では、「No permission」と表示され、閲覧ができないようになっています。
例えば、chromeで管理者ログインし管理画面から請求書のPDFを表示→おなじURLをEdgeで開いても「No permission」と表示されます。

弊社の方で直接動作を確認をさせていただきたく存じます。
こちらのお問い合わせフォームよりURLと環境情報（管理画面 > Welcart Shop > システム設定 > システム環境からシステム環境情報をダウンロード）を添えてご連絡いただけないでしょうか？
フォーラムの内容であることを書き添えていただけますと幸いです。

[sagawa]

irman様

特定の条件下において納品書、見積書、領収書などが閲覧できることを確認いたしました。
こちらは、今ほど修正し、Welcart2.6.6をリリースいたしました。
更新通知が出ましたら、最新版に更新いただき、ご確認いただけたらと存じます。

この度はご報告いただき、ありがとうございました。

[irman]

承知致しました。
よろしくお願い致します。

[投稿者]

投稿