EC-CUBEにおける HTTP Hostヘッダの処理に脆弱性

2022年2月21日

EC-CUBE3系、4系に脆弱性があることがアナウンスされています。

脆弱性の概要

EC-CUBEにおける HTTP Hostヘッダの処理に脆弱性
危険度:

低
不具合が存在するEC-CUBEのバージョン:

4.0.0〜4.1.1
3.0.0〜3.0.18-p3

詳細:

EC-CUBEに対するリクエストの Hostヘッダを改変することで、正規でないURLが生成される脆弱性。

EC-CUBE 4系での修正方法:

環境変数または .env ファイルにて、TRUSTED_HOSTS にご利用のホスト名を正規表現で設定してください。
.env での TRUSTED_HOSTS の記載例

TRUSTED_HOSTS=^www\.example\.com$

# 複数指定時はカンマ区切りで設定
TRUSTED_HOSTS=^a\.example\.com$,^b\.example\.com$

※ なお、EC-CUBE 4.1.2以降では TRUSTED_HOSTS はインストール時に自動で設定されます。

EC-CUBE 3系での修正方法:

修正対象ファイル

以下の2ファイルとなります。

/html/index.php
/html/index_dev.php

EC-CUBE公式サイト　

https://www.ec-cube.net/news/detail.php?news_id=406

Recent Entries