2022年2月21日
EC-CUBE3系、4系に脆弱性があることがアナウンスされています。
EC-CUBEにおける HTTP Hostヘッダの処理に脆弱性
危険度:
低
不具合が存在するEC-CUBEのバージョン:
4.0.0〜4.1.1
3.0.0〜3.0.18-p3
詳細:
EC-CUBEに対するリクエストの Hostヘッダを改変することで、正規でないURLが生成される脆弱性。
環境変数または .env ファイルにて、TRUSTED_HOSTS にご利用のホスト名を正規表現で設定してください。
.env での TRUSTED_HOSTS の記載例
TRUSTED_HOSTS=^www\.example\.com$
# 複数指定時はカンマ区切りで設定
TRUSTED_HOSTS=^a\.example\.com$,^b\.example\.com$
※ なお、EC-CUBE 4.1.2以降では TRUSTED_HOSTS はインストール時に自動で設定されます。
修正対象ファイル
以下の2ファイルとなります。
/html/index.php
/html/index_dev.php
https://www.ec-cube.net/news/detail.php?news_id=406
Webサイトリニューアルから新規ホームページ制作・運営・保守まで、目的達成を実現いたします。
各種Webサイト・ECサイト制作、広告代行に関するご相談、ご質問などお気軽にお問合せ下さい。
Tel : 03-5324-2318 / Email : info@reinc.jp