OpenPNE 3

Overview (概要)¶

再現手順:

1. メンバーA でログインし、PCメールアドレス設定 (/member/config?category=pcAddress) を開く
2. PCメールアドレスに hoge@example.com を入力して「送信」ボタンをクリック
   • hoge@example.com 宛に確認メールが届くが、この時点ではメールに記載されている URL を開かない
3. メンバーB でログインし、PCメールアドレス設定 (/member/config?category=pcAddress) を開く
4. PCメールアドレスに hoge@example.com を入力して「送信」ボタンをクリック
5. メンバーA によって送られた「メールアドレス変更ページのお知らせ」のメールに記載されている URL を開く
6. メンバーA のパスワードを入力して「送信」ボタンをクリック
7. メンバーB によって送られた「メールアドレス変更ページのお知らせ」のメールに記載されている URL を開く
8. メンバーB のパスワードを入力して「送信」ボタンをクリック
9. メンバーA, メンバーB のPCメールアドレスが同じ hoge@example.com に設定された状態になる

Causes (原因)¶

lib/config/config/member_config.yml では pc_address および mobile_address に対して IsUnique: true が指定されており、実際に「PCメールアドレス設定」のフォームでは MemberConfigForm::isUnique() によって重複チェックが行われている。
しかし、メールアドレス変更については、変更後のメールアドレス宛に /member/configComplete?token=*** のURLをメールで送った上で、確認が完了するまでは pc_address を変更しないという例外的な対応を取っている。そのため、MemberConfigForm のバリデーション時には重複しなかったが /member/configComplete の時点で重複するような場合には対処できていなかった。

Way to fix (修正内容)¶

opMemberActions::executeConfigComplete() において、pc_address_pre または mobile_address_pre を pc_address または mobile_address に変更する直前にも重複チェックを行う。これにより、上記の再現手順でいう手順 8 の段階でエラーが発生するようになる。

なお、手順 4 の段階で pc_address_pre が重複するためこの時点でエラーを発生させるといった修正も考えられるが、これをエラーとしてしまうと悪意のあるメンバーが任意のメールアドレスを確認が未完了のまま放置することによって他のメンバーがそのメールアドレスを使用できない状態に出来てしまうため、pc_address_pre に対する重複チェックは行わない。