EC-CUBE 3系・4系、および商品画像一括アップロードプラグインにおける脆弱性に関するお知らせ

2022年9月14日

EC-CUBE運営チームより3系・4系に関する脆弱性情報がアナウンスされています。

コードの変更は軽度のため、運営会社様もしくは制作会社様でも対応は可能ですのでお早めにご確認ください。

EC-CUBEにおけるディレクトリトラバーサルの脆弱性

https://www.ec-cube.net/info/weakness/20220909/
上記公式からアナウンスされている内容を確認の上、運用サイトは処理を行ってください。
弊社で保守依頼を受けているサイトは既に対応済みとなっております。

危険度:低

不具合が存在するEC-CUBEのバージョン:
4.0.0〜4.1.2
3.0.0〜3.0.18-p4

詳細:
EC-CUBEにはディレクトリトラバーサル脆弱性が存在します。攻撃者は当該脆弱性を悪用して、レスポンスの差異からディレクトリの存在有無を確認することが可能です。

修正ファイル

開発環境がある場合は、まず開発環境でお試しください。
以下の手順に従って、修正ファイルの反映をお願いいたします。

修正ファイルのダウンロードご利用中のEC-CUBEのバージョンに該当する修正ファイルをダウンロードしてください。
※EC-CUBEのバージョンはこちらの手順でご確認ください。
※修正ファイルは各バージョンの最新版に対して作成しています。旧バージョンをご利用の場合は、「修正方法2」のご対応をお願いします。

修正ファイル(4.0.6-p1用) (SHA256:6f765843b4fe4903c0ede49bec1cc26966e414b02f50e76c645a3fa48cfcc531)
修正ファイル(4.1.2用) (SHA256:19c207f40a025e3b483b84a32d32a498b50c12fd89fc4dea6b6d8d2bd2b38603)
修正ファイル(3.0.18-p4用) (SHA256:8244f7d7481701c80fc3f82f3d57f9201559725a6686d8073eeeacf0fd32043d)

ダウンロードし、解凍していただきますと、以下の修正ファイルがあります。必ず該当するバージョンのファイルをご利用ください。
src/Eccube/Controller/Admin/Content/FileController.php
src/Eccube/Controller/Admin/Setting/Shop/PaymentController.php
src/Eccube/Form/Type/Admin/ProductType.php

EC-CUBEファイルのバックアップあらかじめEC-CUBEファイル全体のバックアップを行ってください。
※作業中はメンテナンスモードに切り替えることをおすすめします。

修正ファイルの反映以下のファイルを上書き更新してください。

上書きするファイル
src/Eccube/Controller/Admin/Content/FileController.php
src/Eccube/Controller/Admin/Setting/Shop/PaymentController.php
src/Eccube/Form/Type/Admin/ProductType.php
※EC-CUBE本体のカスタマイズをしている場合、修正箇所の差分をご確認のうえ反映をお願いします。
※開発環境がある場合は、開発環境での反映・動作確認を行った後に、本番環境への反映をおすすめします。
動作確認管理画面にログインし、基本操作が正常に行えることをご確認ください。
※メンテナンスモードにされていた場合は解除をお願いします。

緊急で対応できない場合やECで構築されているサイトの状況が把握できていないなどECに関するご質問もお気軽にフォームよりご連絡ください。


SHARE

Recent Entries

EC-CUBE 3系・4系、および商品画像一括アップロードプラグインにおける脆弱性に関するお知らせ
お知らせや告知を固定したい場合のおすすめWordPress通知ヘッダープラグイン
GA4でのIPアドレス除外設定方法
「WordPress 3.7」から「WordPress 4.0」に対するセキュリティアップデートは2022年12月1日で提供終了
口コミへの対応も。Googleビジネスプロフィール 飲食・美容・医療は必ず利用がおすすめ。


SERVICE LINEUP

ただ作るだけのWebサイトやECサイトではなく、成長させ継続的に売上・成果を続けるためにアクセス解析のレポートや定期人的サポートなど、今までサイト運営がわからなかった方々にも理解して頂けるサイト構成をご提案。
「Webがもたらす成長や成果」はどの企業様にとっても重要な資産になるため、事業内容に見合ったWebサイトを構築致します。

Webサイト制作

Webサイト制作

デザインはもちろん、ホームページ更新頻度に関わらず、ブログ感覚で知識がなくても更新が容易にできるツールがほしいお客様向けに更新ツールをご用意。
Webマーケティング

Webマーケティング

定量的にアクセスを見込めるのオーガニック検索からSEM、SNSを活用した認知度の向上などニーズを把握し、コンバージョンを改善。
ECサイト制作

ECサイト制作

ECサイトで商品を販売、売上・販路を拡大したい。コンバージョンをアップさせたいなどお悩みを解決致します。
システム開発

システム開発

企業間取引マッチングサイトシステム開発、市区町村向けコミュニティサイト開発、不動産検索システムなど様々な開発を行っています。
ソリューション

ソリューション

メルマガやASP、既存Webサイトアプリ化、電子書籍、アクセス解析サービスなど月額にてご提供いたします。

CONTACT US

Webサイトリニューアルから新規ホームページ制作・運営・保守まで、目的達成を実現いたします。
各種Webサイト・ECサイト制作、広告代行に関するご相談、ご質問などお気軽にお問合せ下さい。

Tel : 03-5324-2318 / Email : info@reinc.jp

各種お問合せはこちらから