EC-CUBEにおける HTTP Hostヘッダの処理に脆弱性

2022年2月21日

EC-CUBE3系、4系に脆弱性があることがアナウンスされています。

脆弱性の概要

EC-CUBEにおける HTTP Hostヘッダの処理に脆弱性
危険度:


不具合が存在するEC-CUBEのバージョン:

4.0.0〜4.1.1
3.0.0〜3.0.18-p3

詳細:

EC-CUBEに対するリクエストの Hostヘッダを改変することで、正規でないURLが生成される脆弱性。

EC-CUBE 4系での修正方法:

環境変数または .env ファイルにて、TRUSTED_HOSTS にご利用のホスト名を正規表現で設定してください。
.env での TRUSTED_HOSTS の記載例

TRUSTED_HOSTS=^www\.example\.com$

# 複数指定時はカンマ区切りで設定
TRUSTED_HOSTS=^a\.example\.com$,^b\.example\.com$

※ なお、EC-CUBE 4.1.2以降では TRUSTED_HOSTS はインストール時に自動で設定されます。

EC-CUBE 3系での修正方法:

修正対象ファイル

以下の2ファイルとなります。

/html/index.php
/html/index_dev.php

EC-CUBE公式サイト 

https://www.ec-cube.net/news/detail.php?news_id=406

Recent Entries

ゴールデンウィーク休業のお知らせ
口コミ対応も含め、予約やチャットが使えるGoogleビジネスプロフィール 特に飲食・美容・医療は積極的なご活用を
独立含む、Webサイト新規制作、Webサイトリニューアルをご検討している企業様、ご担当者様へ
【あるご質問】担当者が辞めてしまったのでスポットでのホームページやECサイト改修依頼は可能ですか?
WordPress 6.5「レジーナ」リリース!最新バージョンにアップデートを

CONTACT

Webサイトリニューアルから新規ホームページ制作・運営・保守まで、目的達成を実現いたします。
各種Webサイト・ECサイト制作、広告代行に関するご相談、ご質問などお気軽にお問合せ下さい。

Tel : 03-5324-2318 / Email : info@reinc.jp

各種お問合せはこちらから