プロジェクト

全般

プロフィール

Bug(バグ) #290

MessagePlugin でCSRF対策がされていない

Shinichi Urabe14年以上前に追加. ほぼ13年前に更新.

ステータス:
Fixed(完了)
優先度:
Normal(通常)
担当者:
-
対象バージョン:
開始日:
2009-11-29
期日:
進捗率:

100%

3.6 で発生するか:
[QA]バグ通知済:
いいえ
3.8 で発生するか:
Unknown (未調査)

説明

対策がされていない箇所

メッセージの削除
message/deleteReceiveMessage/:id

メッセージの復元
message/reply/id/:id

メッセージの返信
message/reply/id/:id

関係しているリビジョン

リビジョン e6b3cb84 (差分)
Shinichi Urabe14年以上前に追加

(refs #290) CSRF vulnerability fixed. ::Ticket(http://redmine.openpne.jp/issues/290)

履歴

#1 Shinichi Urabe14年以上前に更新

  • 進捗率0 から 90 に変更

http://trac.openpne.jp/changeset/13173
削除、復元のメッセージの状態が変化する動作の場合のみにCSRFをチェックする対応を行いました。

メッセージの返信の場合にトークンを必須にすると不便になりそうなので、対応していません。

#2 Kousuke Ebihara14年以上前に更新

  • 進捗率90 から 0 に変更

僕が受け持ちます。

メッセージの返信の場合にトークンを必須にすると不便になりそうなので、対応していません。

何を言っているのか意味が分からないのですが(トークンを必須にすると不便?/不便になりそうなので対応しない?)、返信機能については確認したところ、 CSRF に脆弱とは言えない(攻撃が成立しない)ので、今回は重要度が低いと見なし対策をおこないません。報告は誤りとし、対応後修正します。

#3 pnetan  約14年前に更新

  • プロジェクトOpenPNE3 Plugins から opMessagePlugin に変更

#4 Shinichi Urabe約14年前に更新

  • ステータスNew(新規) から Fixed(完了) に変更
  • 進捗率0 から 100 に変更

#5 Maki Takahashiほぼ13年前に更新

  • 対象バージョン0.9.0.1 にセット
  • [QA]バグ通知済いいえ にセット

他の形式にエクスポート: Atom PDF