Headline
CVE-2022-38400: サンクスページへ値の引き継ぎ(v4.1.2)/メールフォームプロCGI
Mailform Pro CGI 4.3.1 and earlier allow a remote unauthenticated attacker to obtain the user input data by having a use of the product to access a specially crafted URL.
メールフォームで入力された内容をサンクスページに引き継ぐための機能の説明です。
- < 前の機能
- 次の機能 >
- 4.2.3からの仕様変更
メールフォームから送信された内容をサンクスページで利用したい場合、例えばアフィリエイトタグを発行する際や○○様、ご注文ありがとうございましたのようなメッセージを表示させたい場合ですね。過去のバージョンでは通し番号しか引き継ぐ事ができませんでしたが、4.1.2からは送信されたすべての内容を指定秒数のみサンクスページイからjsonで呼び出すことができます。
本機能は非常に高度でセキュリティリスクをはらんでいる機能のため、セキュリティチェックにしっかりと留意してご利用ください。
本機能を利用する場合はconfig.cgiで
#push @Modules,’thanks’; ## サンクスページへの引き継ぎ
の行頭シャープを取り除き
push @Modules,’thanks’; ## サンクスページへの引き継ぎ
thanksモジュールを有効にします。
これによりメール送信後に送信したユーザのみ
mailformpro/mailformpro.cgi?module=thanks&callback=mfpThanksPageCallback
にアクセスすることで送信内容のjsonを受け取ることができます。
mfpThanksPageCallbackの部分はコールバック関数になり、引数はjsonデータになります。
詳細はthanks.jsファイルをサンプルを記載しておりますが、
json[‘姓’]
というようにJavascriptにてフォームで送信した内容を利用する事ができます。
ご利用の際はconfigs/thanks.cgiの設定内容を必ず吟味してください。
初期設定では送信後、30秒間のみjsonの呼び出しが可能になっております。
4.2.3からの仕様変更
メールフォームプロ起動時(誰かがメールを送信したタイミング)で有効期限が超過しているjsonデータをすべて自動的に削除する仕様にしました。
- < 前の機能
- 次の機能 >