Shota ARATONO
shota****@dino*****
2003年 12月 25日 (木) 12:34:06 JST
こんにちは。ディノ あらとのです。 先日、osCommerce日本語版のMLにて、SQLインジェクション による脆弱姓が報告されました。 http://lists.sourceforge.jp/mailman/archives/tep-j-general/2003-December/001546.html この件について、OpenBazaarでも調査したところ、 lib/catalog/function/general.phpの529行目の $address_format_query = tep_db_query("select address_summary from " . TABLE_ADDRESS_FORMAT . " where address_format_id = '" . $address['address_format_id'] . "'"); という部分で該当することが分かりました。 この、$address['address_format_id']を(int)$address['address_format_id'] とすれば対処できます。 次のバージョンでは修正されていますが、当面はお手数ですが、書き換えて ご利用いただければ有難いです。 以上よろしくお願い致します。 -- ============================================================= 株式会社ディノ (Dino Co Ltd.) 開発部 荒殿 生太 Shota ARATONO 150-0042 東京都渋谷区宇田川町36-6 ワールド宇田川ビル5F E-mail : shota****@dino***** Web : http://www.dino.co.jp Tel 03-5784-4818 Fax 03-5784-4819 =============================================================
