2段階認証について

book...@gmail.com

unread,

Feb 13, 2025, 12:46:25 AMFeb 13

to a-blog cms forum

いつも大変お世話になっております。

ユーザーの2段階認証について質問があり、ご連絡させていただきました。

バージョン：3.1.35

エディション：Standard

PHP：8.3.10

ライセンスステータス：開発モード

管理者としてログインできるユーザー、A・B・Cを3つ用意しています。

Aに対してユーザー管理＞変更より2段階認証を設定したところ、

ユーザー編集画面（/bid/1/uid/3/admin/user_edit/?edit=update）にて

2段階認証欄が「編集（設定済み）」となりました。

2段階認証にてログイン出来ることも確認済みです。

■現象①

しかし、B及びCのユーザー編集画面を確認すると、

こちらも2段階認証欄が「編集（設定済み）」となっています。

これらのユーザーは2段階認証は設定しておらず、2段階認証なしでログイン出来ることを確認しています。

■現象②

Aのユーザー編集画面より「編集（設定済み）」を押下し、2段階認証の設定ページ（/bid/1/uid/3/admin/user_tfa/）へ遷移しました。

その後設定解除ボタンを押下したのですが、2段階認証の解除が出来ませんでした。

現象①②は弊社にて保持している別の3.1.35のバージョンのサイトでも確認出来ました。

お忙しいところ大変恐れいりますが、こちらの解消方法についてご教授いただけますと幸いです。

以上、よろしくお願いいたします。

伊藤淳

unread,

Feb 13, 2025, 8:25:25 PMFeb 13

to a-blog cms forum

お世話になっております。

こちら大変申し訳ございません。不具合ということがわかりました。

本来であれば、自分以外のユーザーの2段階認証設定ボタンや設定画面が表示されないのが、表示されてしまっていることが問題となります。

ただボタンや設定画面が見えてしまっていますが、他のユーザーの設定が見えているわけではなく、ログインしているユーザーの情報が表示されているということになります。

以下２ファイル修正いただければ対応できますので、お試しいただけますでしょうか。

php/ACMS/GET/Member/Tfa/Check.php 27行目付近

修正前

if (!SUID || !Tfa::isAvailable()) {
    return;
}

修正後

if (!SUID || !Tfa::isAvailable()) {
    return;
}
// 以下3行を追加
if (UID && SUID !== UID) {
    return;
}

php/ACMS/GET/Member/Update/Tfa.php 15行目付近

修正前

if (!SUID) {
    page404();
}

修正後

if (!SUID) {
    page404();
}
// 以下3行を追加
if (UID && UID !== SUID) {
    page404();
}

ご確認のほどよろしくお願いいたします。

2025年2月13日木曜日 14:46:25 UTC+9 book...@gmail.com:

book...@gmail.com

unread,

Feb 13, 2025, 11:17:50 PMFeb 13

to a-blog cms forum

早速ご確認いただきありがとうございます！

現象①に関しましては頂戴した内容にて確認出来ました。

ただ現象②については引き続き発生しております。

こちらは弊社の環境のみの事象か、不具合の一つかご確認いただくことは可能でしょうか？

恐れいりますが引き続きご確認いただけますと幸いです。

以上、よろしくお願いいたします。

2025年2月14日金曜日 10:25:25 UTC+9 伊藤淳:

伊藤淳

unread,

Feb 13, 2025, 11:43:27 PMFeb 13

to a-blog cms forum

ご確認ありがとうございます。

> ただ現象②については引き続き発生しております。

こちらは、再現できていない問題で、問題なく解除することができました。

デバッグモードをONにした時、何かエラーが出ていないでしょうか。また監査ログに何かエラーが記録されていないでしょうか。

ご確認のほどよろしくお願いいたします。

2025年2月14日金曜日 13:17:50 UTC+9 book...@gmail.com:

book...@gmail.com

unread,

Feb 16, 2025, 8:51:35 PMFeb 16

to a-blog cms forum

伊藤様

ご確認いただきありがとうございます。

貴社では再現出来ていないとのこと、承知いたしました。

デバッグモードはONの状態ですが、ブラウザ上でのエラーや監査ログ・Apacheのログ・php系のログには特に何も記載されていませんでした。

何らかの理由でWAFにブロックされた可能性も考慮しましたが、特にブロックされた履歴はございませんでした

弊社固有の問題である可能性が高いため、もう少し調査するようにいたします。

進展がありましたらこちらに記載させていただきます。

早々に調査・ソースをご提供いただき、まことにありがとうございました。

今後ともどうぞよろしくお願いいたします。

2025年2月14日金曜日 13:43:27 UTC+9 伊藤淳:

伊藤淳

unread,

Feb 16, 2025, 9:59:07 PMFeb 16

to a-blog cms forum

ご確認ありがとうございます。

なるほど。承知いたしました。

また何か不明点などありましたらお気軽にお聞きください。

どうぞよろしくお願いいたします。

2025年2月17日月曜日 10:51:35 UTC+9 book...@gmail.com:

Reply all

Reply to author

Forward