EC-CUBE 3系・4系、および商品画像一括アップロードプラグインにおける脆弱性に関するお知らせ

2022年9月14日

EC-CUBE運営チームより3系・4系に関する脆弱性情報がアナウンスされています。

コードの変更は軽度のため、運営会社様もしくは制作会社様でも対応は可能ですのでお早めにご確認ください。

EC-CUBEにおけるディレクトリトラバーサルの脆弱性

https://www.ec-cube.net/info/weakness/20220909/
上記公式からアナウンスされている内容を確認の上、運用サイトは処理を行ってください。
弊社で保守依頼を受けているサイトは既に対応済みとなっております。

危険度:低

不具合が存在するEC-CUBEのバージョン:
4.0.0〜4.1.2
3.0.0〜3.0.18-p4

詳細:
EC-CUBEにはディレクトリトラバーサル脆弱性が存在します。攻撃者は当該脆弱性を悪用して、レスポンスの差異からディレクトリの存在有無を確認することが可能です。

修正ファイル

開発環境がある場合は、まず開発環境でお試しください。
以下の手順に従って、修正ファイルの反映をお願いいたします。

修正ファイルのダウンロードご利用中のEC-CUBEのバージョンに該当する修正ファイルをダウンロードしてください。
※EC-CUBEのバージョンはこちらの手順でご確認ください。
※修正ファイルは各バージョンの最新版に対して作成しています。旧バージョンをご利用の場合は、「修正方法2」のご対応をお願いします。

修正ファイル(4.0.6-p1用) (SHA256:6f765843b4fe4903c0ede49bec1cc26966e414b02f50e76c645a3fa48cfcc531)
修正ファイル(4.1.2用) (SHA256:19c207f40a025e3b483b84a32d32a498b50c12fd89fc4dea6b6d8d2bd2b38603)
修正ファイル(3.0.18-p4用) (SHA256:8244f7d7481701c80fc3f82f3d57f9201559725a6686d8073eeeacf0fd32043d)

ダウンロードし、解凍していただきますと、以下の修正ファイルがあります。必ず該当するバージョンのファイルをご利用ください。
src/Eccube/Controller/Admin/Content/FileController.php
src/Eccube/Controller/Admin/Setting/Shop/PaymentController.php
src/Eccube/Form/Type/Admin/ProductType.php

EC-CUBEファイルのバックアップあらかじめEC-CUBEファイル全体のバックアップを行ってください。
※作業中はメンテナンスモードに切り替えることをおすすめします。

修正ファイルの反映以下のファイルを上書き更新してください。

上書きするファイル
src/Eccube/Controller/Admin/Content/FileController.php
src/Eccube/Controller/Admin/Setting/Shop/PaymentController.php
src/Eccube/Form/Type/Admin/ProductType.php
※EC-CUBE本体のカスタマイズをしている場合、修正箇所の差分をご確認のうえ反映をお願いします。
※開発環境がある場合は、開発環境での反映・動作確認を行った後に、本番環境への反映をおすすめします。
動作確認管理画面にログインし、基本操作が正常に行えることをご確認ください。
※メンテナンスモードにされていた場合は解除をお願いします。

緊急で対応できない場合やECで構築されているサイトの状況が把握できていないなどECに関するご質問もお気軽にフォームよりご連絡ください。


SHARE

Recent Entries

年末年始休業期間のお知らせ
ページ遷移なし。フォームに条件分岐をつけたい時に便利なプラグイン『Conditional Fields for Contact Form 7』
アクセシビリティにも。おすすめ音声読み上げ埋め込み式プラグイン
飲食店ホームページにおすすめ。店舗ごとに管理権限をもたせ、記事を更新する方法
EC-CUBE(3系、4系)ルミーズ決済プラグインアップデート
htaccessでwwwあり、なしリダイレクト統一方法。httpからhttpsへのリダイレクト方法


CONTACT

Webサイトリニューアルから新規ホームページ制作・運営・保守まで、目的達成を実現いたします。
各種Webサイト・ECサイト制作、広告代行に関するご相談、ご質問などお気軽にお問合せ下さい。

Tel : 03-5324-2318 / Email : info@reinc.jp

各種お問合せはこちらから