石川@Vektor,Inc.
フォーラムへの返信
-
投稿者投稿
-
石川@Vektor,Inc.キーマスター> サイト内で一部文字化けが出たままの状態
こちらは具体的にどこのページのどの部分事でしょうか?
解消のため症状確認させていただきたいためよろしくお願いいたします。
石川@Vektor,Inc.キーマスター弊社製品のご利用ありがとうございます。株式会社ベクトルの石川と申します。
弊社環境で確認する限りは特に問題は発生していないのですが、
マイアカウントページから vk-blocks-pro.zip をダウンロード&アップロードして再度お試しいただけますでしょうか?よろしくお願いいたします。
石川@Vektor,Inc.キーマスター大変ご迷惑おかけして恐れ入ります。
1.13.3 にて修正いたしました。
管理画面からのアップデートか、管理画面からアップデートができない場合は下記の biz-vektor.zip をサーバーにアップしてください。
石川@Vektor,Inc.キーマスター大変申し訳ございません。
今暫くお待ちくださいませ。
石川@Vektor,Inc.キーマスターこちらから直接ダウンロードも可能です。
https://github.com/vektor-inc/biz-vektor/releasesよろしくお願いいたします。
石川@Vektor,Inc.キーマスターご報告ありがとうございます。今暫くお待ちくださいませ。
石川@Vektor,Inc.キーマスター無事更新できて何よりでございます。
WAFはまた一旦戻しておいてください。また何かありましたら投稿くださいませ。
今後とも弊社製品をよろしくお願いいたします。
石川@Vektor,Inc.キーマスター確認いたしました。
新しいライセンスキーが保存出来なくて古いライセンスキーのままのため、
期限切れと表示されてしまっているはい。状態です。保存しようとすると「返答が正しい JSON レスポンスではありません。」というエラーが発生してしまうという状態です。
このエラーは原因が多岐にわたるため特定が難しいのですが、
まずは1. サーバーのコントロールパネルからWAFを一時的に停止
2. ライセンスキーを削除 -> 保存ボタン
3. 設定 > VK Blocks 画面を再読み込みしてライセンスキーが削除されるか確認
4. 削除されてる場合 → 新しいライセンスキーを保存すれば認証されると思います。
削除されない場合 → その旨改めて返信くださいませ。
石川@Vektor,Inc.キーマスター
石川@Vektor,Inc.キーマスター
石川@Vektor,Inc.キーマスター弊社製品のご利用ありがとうございます。株式会社ベクトルの石川と申します。
まず弊社環境でご利用のライセンスキーを確認する限り問題なく認証は通りました。
おそらく失敗した情報がキャッシュされた状態かと思います。
改めてライセンスキーを削除・保存
ライセンスキーを再度貼り付け・保存してご確認くださいませ。
その他下記に記載の 更新 > 再確認してください をお試しくださいませ。最初の確認から24時間経って上記手順を試しても解消しない場合は
からご連絡くださいませ。
よろしくお願いいたします。
石川@Vektor,Inc.キーマスターご報告ありがとうございます。
VK All in One Expansion Unit 9.117.5 にて解消されていると思いますので(弊社環境で再現しなかったため)アップデートの上ご確認くださいませ。よろしくお願いいたします。
石川@Vektor,Inc.キーマスター弊社製品のご利用ありがとうございます。株式会社ベクトルの石川と申します。
CVE-2026-27212 の正体
種類: プロトタイプ汚染(Prototype Pollution)
Swiper 内部のオブジェクト結合処理(extend() / shared/uti
ls.mjs)で、ユーザー入力に禁止文字列が含まれていないかを
indexOf() でチェックしていたものの、Array.prototype
を経由した細工入力でそのチェックを回避でき、Object.proto
type を汚染できてしまう、という不具合です。VK Blocks Pro 利用時に実際に危険か → ほぼ無害
この脆弱性が成立するには「攻撃
者が制御する入力が、脆弱な extend()
関数に渡される」ことが必須条件です。報告されている実証も
Node.js / Bun
のサーバーサイドランタイムで「信頼できないデータを
Swiper に流し込む」ケースを前提にしています。一方、VK Blocks Pro での Swiper の使われ方は:
– ブラウザ(フロントエンド)でスライダーを動かすためだけ
に使用
– スライダーの設定値はサイト制作者が固定で渡すもので、訪
問者の入力を Swiper の設定に流し込む作りにはなっていないつまり「攻撃者が任意の入力を Swiper
の初期化オプションに注入する」経路が存在しないため、実害
が生じる現実的なシナリオはありません。診断ツールが警告を出す理由
ロリポップのネット診断は、読み込まれている JS
のバージョン番号をスキャンして既知 CVE
と機械的に突き合わせているだけです。利用方法(攻撃経路が
あるか)までは判定しないため、「11.2.10 = CVE-2026-27212
該当 → 要対応」と一律に出ます。いわゆるバージョンベース
の誤検知(false positive)です。対応の方針
– フロントエンドのスライダー用途では悪用
経路がありません。
– とはいえ診断ツールの警告を消す・将来の安心のため、念のため Swiper を更新したバージョンを今後リリース予定です。よろしくお願いいたします。
石川@Vektor,Inc.キーマスターお世話になっております。ベクトルの石川でございます。
VWS側では支払い完了となっておりますが詳細確認の為、
過去に入金のあった paypal のアカウント(メールアドレス)を下記よりご連絡いただけますでしょうか?よろしくお願いいたします。
-
投稿者投稿
