HTMLメールテンプレートを削除しても安全なように対策

[okazy]

概要(Overview)

公式サイトで脆弱性の告知とともに HTMLメールテンプレートを削除するカスタマイズを実施している場合の注意喚起 が出されています。
以下は上記ページからの引用です。

HTMLメールテンプレートを削除するカスタマイズを実施している際に、受注情報を参照することでXSSが成立する条件が新たに確認されました。

前提
HTMLメールテンプレートを削除するカスタマイズを実施している場合に発生

事象
src/Eccube/Resource/template/default/Mail/*.html.twigにあるsrc以下のHTMLメールテンプレートを削除し、app/template/以下にもHTMLメールテンプレートが存在しない場合、以下の機能でXSSが成立します。

上記はカスタマイズとして発生する可能性があり危険です。
HTMLメールテンプレートを削除しても、そもそもXSSが成立しないように対策が必要かと思います。

期待する内容(Expect) or 要望 (Requirement)

HTMLメールテンプレートを削除しても、そもそもXSSが成立しない。

再現手順(Procedure)

HTMLメールテンプレートを削除するカスタマイズを実施している場合の注意喚起 に記載

環境 (environment)

• EC-CUBE: 4.0.x

実現可能性

autoescape を排除する必要があるが、どれだけ影響が出るのかは要調査。

対応できるバージョン

4.1 以降で検討。
マイナーバージョンアップでは対応が難しい可能性があるので 4.1.0 で対応したい。

関連情報 (Ref)

#5013

[okazy]

#5072 で対応いただきましたのでクローズします。
ありがとうございました。