favyサブスク加盟店さま向け管理画面における脆弱性の確認と改修実施のお知らせ

• favy


• 13 4月 2023

平素は favyサブスクをご利用いただき、誠にありがとうございます。

favyサブスクの加盟店さま向け管理画面の一部機能において脆弱性を確認し、改修を行いましたことをお知らせいたします。詳細は以下をご参照ください。

1. 本脆弱性の内容

favyサブスクの加盟店さま向け管理画面において、会員情報一覧画面のURLが類推可能なため他社の会員情報一覧画面へのアクセスが特定の条件下で可能でした。この会員情報一覧画面は、その加盟店さまが提供するサブスクサービスの会員情報として会員ユーザーの名前、メールアドレスが表示されており、他社の表示内容が参照可能でした。なお、本脆弱性はfavyサブスクをご利用の加盟店さまからのご連絡により判明いたしました。

2. 確認から対応までの経緯

• 4/6 10:42 ご利用の加盟店さまからのご連絡
• 4/6 11:22 弊社の営業窓口から開発メンバーに共有。調査を開始
• 4/6 11:44 管理画面の一部機能において脆弱性があることを確認し修正作業を開始
• 4/6 11:59 修正プログラムを本番化

3. 本脆弱性への対応
加盟店さま向け管理画面の対象箇所のセキュリティ対策を行い、閲覧できないようにプログラムの改善をおこないました。

• 特定条件下でも閲覧できないようにプログラムの修正を行いました
• アクセスログを全期間で確認し発生期間において不審なアクセス等が存在しなかったことを確認しました
• 同様の脆弱性を想定できる箇所のテストを行い問題ないことを確認しました

本脆弱性に対して、お客様での操作などは不要でございます。
また、本脆弱性において、お客さまのデータの流出、持ち出し、不正利用は発生しておりません。

今後とも favyサブスク をよろしくお願いいたします。