プリントクリエイター

【改修済み】コピーしたjavaScriptを使用して行う帳票出力に関する脆弱性に関して

この脆弱性は既に改修されています。ご安心ください。

影響と対策はこちら
    

平素はプリントクリエイターをご利用いただき誠にありがとうございます。
特定の利用方法時において、意図しない情報の出力が可能になる脆弱性が発覚しましたので、その現象と回避策を報告させていただきます。 お客様にはご不便とご心配をおかけし大変申し訳ございません。
※この脆弱性は一括出力に伴うものなので、「プレミアムコース」のお客様のみが対象となります。

 

現象

コピーしたプリントクリエイターjavaScriptを使用すると設定時のアプリ内情報を帳票として出力してしまう
・プリントクリエイターのjavaScriptをコピーして使用すると、コピー後のアプリで一括出力をすると、最初に設定したアプリ内の情報を参照してしまうことが分かりました。これは、異なるドメインを跨いだ場合でも発生します。javaScriptのコピーは、アプリをテンプレート化した際にも起こります。

 

・上記の数値でズレが起きている場合、最初に設定したアプリとは 異なるアプリにjavaScriptが設定されていることが考えられます。


・上記のように、新アプリで一括出力した際、アプリ上にデータは無いが、最初に設定したアプリ内のデータを参照し、最大500件の帳票を出力してしまいます。

お客様側で実施可能な回避策

一括出力ができるIPアドレスを制限する
・プリントクリエイターでは一括出力時のIPアドレスを制限することが可能です。自社内や、意図する環境のIPアドレスのみ、許可することで、それ以外からの一括出力を防ぐことが可能です。

これからの対策

・現在、早急にこの脆弱性に対応するため開発をしております。ドメインを跨いだ情報の誤出力を防ぐため、プリントクリエイター側にドメインチェックの機構を実装し、当初設定していたkintoneと異なるドメインの際には出力不可にすることで対応します。

この脆弱性は既に改修されています。



脆弱性解消に関わる影響につきまして(全コースのお客様に影響がございます)

登録外のアプリからの帳票出力不可

・プリントクリエイターで登録しているアプリと異なるドメイン、異なるアプリからの帳票出力を一切不可と致しました。アプリを再利用しそのまま帳票出力している場合、帳票の出力ができない 場合がありますのでご注意ください。

帳票出力ができなくなった際の対策

・プリントクリエイターでは、帳票出力したいアプリを全てプリントクリエイターの管理画面に登録いただき、「JavaScriptの更新」にてJavaScriptを登録いただく必要がございます。下記を参考に、帳票出力するアプリを全て、プリントクリエイター管理画面でご登録ください。
プリントクリエイターのはじめ方

・なお、アプリの設定内「JavaScript/CSSでカスタマイズ」のPC用のJavaScriptファイルに kintone-printcreator-loader-〇〇.js というファイルが追加されますが、こちらの末尾の数値が kintoneアプリを開いたレコード一覧画面のURLの末尾の数値 https://xxxxxxxxxxx.cybozu.com/k/〇〇/ と同一であることをご確認くださいませ。 数値が異なるプリントクリエイターJavaScriptが設定されている場合、 そのJavaScriptを削除した上でプリントクリエイターにkintoneアプリを登録、 「JavaScriptの更新」を行う必要があります。