ニュース

EC-CUBE 3.0系/4.0系で新たに見つかりました1件の脆弱性の情報と、修正方法についてお知らせします。
該当バージョンでサイトを運営されている場合は、内容をご確認のうえご対応をお願い致します。

なおクラウド版「EC-CUBE」であるec-cube.coでは、本件はすでに修正しておりますので安心してご利用ください。

【6/25追記】「EC-CUBEバージョン別 運用環境セキュリティチェックリスト」につきましても、3系・4系のシートの8行目、12行目をそれぞれ更新いたしました。
該当バージョンでサイトを運営されている場合は、内容をご確認のうえご対応をお願いいたします。

---

脆弱性の詳細

ディレクトリトラバーサルの脆弱性
危険度:中
影響バージョン:4.0.0～4.0.3, 3.0.0～3.0.18

管理画面の商品登録機能を利用して任意のパスのファイル・ディレクトリの削除が行える可能性があります。
なお、実行には管理画面にログインし、サーバー内のファイル・ディレクトリの削除権限を持つユーザーでEC-CUBEが実行されている必要があります。

参考:ご利用中のEC-CUBEのバージョンを確認する方法

---

修正について

4.0系は、本日リリースしました最新版のEC-CUBE 4.0.4で修正済みです。修正用のファイルも公開しております。
3.0系は、修正用のファイルを公開しております。

詳しくは脆弱性リストより詳細をご確認ください。

---

安全にご利用頂くために〜セキュリティに関する注意喚起〜

昨今、管理画面への不正アクセスの事例が報告されています。
多くの場合、管理画面の基本的な対策を行っていないことが原因となっておりますので、以下ご確認と対策をお願いいたします。

- logなど外部に公開されるべきでないファイルの外部からのアクセスを制限する
- 管理画面はIP制限やBasic認証等により、外部からのアクセスを制限する
- 公開済みの脆弱性の対応を行う

など、基本的な対策をおこなっていただくようにお願いいたします。

詳しくはセキュリティ対策についての特設サイトをご覧ください。
https://www.ec-cube.net/info/security/