2022年9月14日
EC-CUBE運営チームより3系・4系に関する脆弱性情報がアナウンスされています。
コードの変更は軽度のため、運営会社様もしくは制作会社様でも対応は可能ですのでお早めにご確認ください。
https://www.ec-cube.net/info/weakness/20220909/
上記公式からアナウンスされている内容を確認の上、運用サイトは処理を行ってください。
弊社で保守依頼を受けているサイトは既に対応済みとなっております。
危険度:低
不具合が存在するEC-CUBEのバージョン:
4.0.0〜4.1.2
3.0.0〜3.0.18-p4
詳細:
EC-CUBEにはディレクトリトラバーサル脆弱性が存在します。攻撃者は当該脆弱性を悪用して、レスポンスの差異からディレクトリの存在有無を確認することが可能です。
開発環境がある場合は、まず開発環境でお試しください。
以下の手順に従って、修正ファイルの反映をお願いいたします。
修正ファイルのダウンロードご利用中のEC-CUBEのバージョンに該当する修正ファイルをダウンロードしてください。
※EC-CUBEのバージョンはこちらの手順でご確認ください。
※修正ファイルは各バージョンの最新版に対して作成しています。旧バージョンをご利用の場合は、「修正方法2」のご対応をお願いします。
修正ファイル(4.0.6-p1用) (SHA256:6f765843b4fe4903c0ede49bec1cc26966e414b02f50e76c645a3fa48cfcc531)
修正ファイル(4.1.2用) (SHA256:19c207f40a025e3b483b84a32d32a498b50c12fd89fc4dea6b6d8d2bd2b38603)
修正ファイル(3.0.18-p4用) (SHA256:8244f7d7481701c80fc3f82f3d57f9201559725a6686d8073eeeacf0fd32043d)
ダウンロードし、解凍していただきますと、以下の修正ファイルがあります。必ず該当するバージョンのファイルをご利用ください。
src/Eccube/Controller/Admin/Content/FileController.php
src/Eccube/Controller/Admin/Setting/Shop/PaymentController.php
src/Eccube/Form/Type/Admin/ProductType.php
EC-CUBEファイルのバックアップあらかじめEC-CUBEファイル全体のバックアップを行ってください。
※作業中はメンテナンスモードに切り替えることをおすすめします。
上書きするファイル
src/Eccube/Controller/Admin/Content/FileController.php
src/Eccube/Controller/Admin/Setting/Shop/PaymentController.php
src/Eccube/Form/Type/Admin/ProductType.php
※EC-CUBE本体のカスタマイズをしている場合、修正箇所の差分をご確認のうえ反映をお願いします。
※開発環境がある場合は、開発環境での反映・動作確認を行った後に、本番環境への反映をおすすめします。
動作確認管理画面にログインし、基本操作が正常に行えることをご確認ください。
※メンテナンスモードにされていた場合は解除をお願いします。
緊急で対応できない場合やECで構築されているサイトの状況が把握できていないなどECに関するご質問もお気軽にフォームよりご連絡ください。
Webサイトリニューアルから新規ホームページ制作・運営・保守まで、目的達成を実現いたします。
各種Webサイト・ECサイト制作、広告代行に関するご相談、ご質問などお気軽にお問合せ下さい。
Tel : 03-5324-2318 / Email : info@reinc.jp