EC-CUBEにおける HTTP Hostヘッダの処理に脆弱性

2022年2月21日

EC-CUBE3系、4系に脆弱性があることがアナウンスされています。

脆弱性の概要

EC-CUBEにおける HTTP Hostヘッダの処理に脆弱性
危険度:


不具合が存在するEC-CUBEのバージョン:

4.0.0〜4.1.1
3.0.0〜3.0.18-p3

詳細:

EC-CUBEに対するリクエストの Hostヘッダを改変することで、正規でないURLが生成される脆弱性。

EC-CUBE 4系での修正方法:

環境変数または .env ファイルにて、TRUSTED_HOSTS にご利用のホスト名を正規表現で設定してください。
.env での TRUSTED_HOSTS の記載例

TRUSTED_HOSTS=^www\.example\.com$

# 複数指定時はカンマ区切りで設定
TRUSTED_HOSTS=^a\.example\.com$,^b\.example\.com$

※ なお、EC-CUBE 4.1.2以降では TRUSTED_HOSTS はインストール時に自動で設定されます。

EC-CUBE 3系での修正方法:

修正対象ファイル

以下の2ファイルとなります。

/html/index.php
/html/index_dev.php

EC-CUBE公式サイト 

https://www.ec-cube.net/news/detail.php?news_id=406


SHARE

Recent Entries

年末年始休業期間のお知らせ
ページ遷移なし。フォームに条件分岐をつけたい時に便利なプラグイン『Conditional Fields for Contact Form 7』
アクセシビリティにも。おすすめ音声読み上げ埋め込み式プラグイン
飲食店ホームページにおすすめ。店舗ごとに管理権限をもたせ、記事を更新する方法
EC-CUBE(3系、4系)ルミーズ決済プラグインアップデート
htaccessでwwwあり、なしリダイレクト統一方法。httpからhttpsへのリダイレクト方法


CONTACT

Webサイトリニューアルから新規ホームページ制作・運営・保守まで、目的達成を実現いたします。
各種Webサイト・ECサイト制作、広告代行に関するご相談、ご質問などお気軽にお問合せ下さい。

Tel : 03-5324-2318 / Email : info@reinc.jp

各種お問合せはこちらから