JavaScript を有効にしてご利用下さい.
EC-CUBE
®
製品
自社サーバーに無料インストール
ダウンロードして使う
すぐに始めてメンテナンスフリー
クラウドで使う
※新規受付停止中
開発者向けシステム仕様など
開発情報
機能
EC-CUBEの魅力をご紹介
選ばれる理由
充実した基本機能
機能一覧
それぞれの特徴をご紹介
決済サービス一覧
操作感や各機能をお試しください
デモサイト
導入事例
パートナーを探す
サポート
サポート窓口をご案内
サポート
EC-CUBEに関する質問まとめ
よくあるご質問
セキュリティ
安心・安全にご利用頂くために
セキュリティ対策
脆弱性情報をご確認頂けます
脆弱性リスト
ニュース
EC-CUBEのニュース・リリース
ニュース
さまざまなセミナーを随時開催中
イベントセミナー情報
パートナーについて
EC-CUBEでビジネス展開
パートナー制度ご紹介
ご紹介資料や技術情報など
お役立ち資料
パートナー専用ページへ
ログイン
お問い合わせ
ストア
ニュース
EC-CUBE 3系/4系 及びのEC-CUBE公式 商品画像一括アップロードプラグインの脆弱性に関して(2022/09/14)
この度、バグバウンティの実施により、脆弱性に関する報告をいただきました。
ご協力誠にありがとうございました。
報告いただいた内容について脆弱性判定を行い、EC-CUBE 3系・4系、および商品画像一括アップロードプラグインで新たに見つかりました脆弱性(危険度:低)の情報と、修正方法についてお知らせします。
該当バージョン・該当プラグインを利用してサイトを運営されている場合は、内容をご確認のうえご対応をお願いいたします。
なお、クラウド版「EC-CUBE」である
ec-cube.co
では、本件はすでに修正しておりますので安心してご利用ください。
参考:
ご利用中のEC-CUBEのバージョンを確認する方法
更新履歴
2022/9/15 16:50
「EC-CUBEにおけるクロスサイトスクリプティングの脆弱性」にて、修正ファイル(4.0.6-p1
用)の誤りを修正
1.EC-CUBEにおけるクロスサイトスクリプティングの脆弱性
脆弱性の詳細
危険度:
低
不具合が存在するEC-CUBEのバージョン:
-4.0.0〜4.1.2
EC-CUBEにはDOM Based XSSの脆弱性が存在します。攻撃者は当該脆弱性を悪用して、被害者のブラウザ上で任意のスクリプトを実行させる可能性があります。 なお、実行には被害者による操作が必要であるため攻撃への悪用は難しいと考えられます。
修正について
詳しくは
脆弱性の詳細ページ
をご確認ください。
※2022/9/15 16:50 追記
【修正方法1: 修正ファイルを利用する場合】の
【修正ファイル(4.0.6-p1用)】に格納していた以下のtwigファイルに誤りがございました。
app/template/admin/Setting/Shop/delivery_edit.twig
9月15日(木)16:50現在は修正されておりますので、
既にダウンロードいただいた方はお手数ですが再ダウンロードしていただき
対処いただきますようお願いいたします。
2. EC-CUBEにおけるディレクトリトラバーサルの脆弱性
脆弱性の詳細
危険度:
低
不具合が存在するEC-CUBEのバージョン:
4.0.0〜4.1.2
3.0.0〜3.0.18-p4
EC-CUBEにはディレクトリトラバーサル脆弱性が存在します。攻撃者は当該脆弱性を悪用して、レスポンスの差異からディレクトリの存在有無を確認することが可能です。
修正について
詳しくは
脆弱性の詳細ページ
をご確認ください。
3.EC-CUBE 用プラグイン「商品画像一括アップロードプラグイン」におけるアップロードファイルの検証不備の脆弱性
脆弱性の詳細
危険度:
低
不具合が存在する「商品画像一括アップロードプラグイン」のバージョン:
1.0.0 (EC-CUBE 4系対応)
4.1.0 (EC-CUBE 4系対応)
商品画像一括アップロードプラグインには、不正なファイルがアップロード可能な脆弱性が存在します。
修正について
詳しくは
脆弱性の詳細ページ
をご確認ください。
セキュリティに関する注意喚起
セキュリティ対策についてEC-CUBEを安全にご利用いただくためには、ご利用の環境にあわせて正しくセットアップされていること、既知の脆弱性などのパッチやバージョンアップがされていることが大切です。
以下特集ページにて、セキュリティ対策についてまとめております。
この機会にあらためてご確認をお願いいたします。
https://www.ec-cube.net/info/security/
EC-CUBEのセキュリティへの取り組み
EC-CUBEでは、安心して運営・開発をしていただけるよう、お使いの事業者、開発者を含めたコミュニティと共に、セキュリティ向上に努めています。今回脆弱性を発見したEC-CUBE本体への脆弱性診断の他にも、今後セキュリティへの取り組みとして以下を予定しています。
・VAddyやOWASP ZAPによるセキュリティテスト自動化と利用啓発
・カスタマイズ時やプラグイン制作時に利用できるセキュアコーディングガイドの作成
これまで行ってきたEC-CUBEのセキュリティ向上への取り組みは以下をご覧ください。
https://www.ec-cube.net/info/security/efforts.php
ご協力誠にありがとうございました。
報告いただいた内容について脆弱性判定を行い、EC-CUBE 3系・4系、および商品画像一括アップロードプラグインで新たに見つかりました脆弱性(危険度:低)の情報と、修正方法についてお知らせします。
該当バージョン・該当プラグインを利用してサイトを運営されている場合は、内容をご確認のうえご対応をお願いいたします。
なお、クラウド版「EC-CUBE」であるec-cube.co では、本件はすでに修正しておりますので安心してご利用ください。
参考: ご利用中のEC-CUBEのバージョンを確認する方法
更新履歴
用)の誤りを修正
1.EC-CUBEにおけるクロスサイトスクリプティングの脆弱性
脆弱性の詳細
危険度:
低
不具合が存在するEC-CUBEのバージョン:
-4.0.0〜4.1.2
EC-CUBEにはDOM Based XSSの脆弱性が存在します。攻撃者は当該脆弱性を悪用して、被害者のブラウザ上で任意のスクリプトを実行させる可能性があります。 なお、実行には被害者による操作が必要であるため攻撃への悪用は難しいと考えられます。
修正について
詳しくは脆弱性の詳細ページをご確認ください。
※2022/9/15 16:50 追記
【修正方法1: 修正ファイルを利用する場合】の
【修正ファイル(4.0.6-p1用)】に格納していた以下のtwigファイルに誤りがございました。
app/template/admin/Setting/Shop/delivery_edit.twig
9月15日(木)16:50現在は修正されておりますので、
既にダウンロードいただいた方はお手数ですが再ダウンロードしていただき
対処いただきますようお願いいたします。
2. EC-CUBEにおけるディレクトリトラバーサルの脆弱性
脆弱性の詳細
危険度:
低
不具合が存在するEC-CUBEのバージョン:
4.0.0〜4.1.2
3.0.0〜3.0.18-p4
EC-CUBEにはディレクトリトラバーサル脆弱性が存在します。攻撃者は当該脆弱性を悪用して、レスポンスの差異からディレクトリの存在有無を確認することが可能です。
修正について
詳しくは脆弱性の詳細ページをご確認ください。
3.EC-CUBE 用プラグイン「商品画像一括アップロードプラグイン」におけるアップロードファイルの検証不備の脆弱性
脆弱性の詳細
危険度:
低
不具合が存在する「商品画像一括アップロードプラグイン」のバージョン:
1.0.0 (EC-CUBE 4系対応)
4.1.0 (EC-CUBE 4系対応)
商品画像一括アップロードプラグインには、不正なファイルがアップロード可能な脆弱性が存在します。
修正について
詳しくは脆弱性の詳細ページをご確認ください。
セキュリティに関する注意喚起
セキュリティ対策についてEC-CUBEを安全にご利用いただくためには、ご利用の環境にあわせて正しくセットアップされていること、既知の脆弱性などのパッチやバージョンアップがされていることが大切です。
以下特集ページにて、セキュリティ対策についてまとめております。
この機会にあらためてご確認をお願いいたします。
https://www.ec-cube.net/info/security/
EC-CUBEのセキュリティへの取り組み
EC-CUBEでは、安心して運営・開発をしていただけるよう、お使いの事業者、開発者を含めたコミュニティと共に、セキュリティ向上に努めています。今回脆弱性を発見したEC-CUBE本体への脆弱性診断の他にも、今後セキュリティへの取り組みとして以下を予定しています。
・VAddyやOWASP ZAPによるセキュリティテスト自動化と利用啓発
・カスタマイズ時やプラグイン制作時に利用できるセキュアコーディングガイドの作成
これまで行ってきたEC-CUBEのセキュリティ向上への取り組みは以下をご覧ください。
https://www.ec-cube.net/info/security/efforts.php