EC-CUBE 日本発のECオープンソース
EC-CUBEのダウンロード(FREE) EC-CUBEのデモサイト
Global Menu
  • 製品情報
    • EC-CUBEとは
    • 機能一覧
    • システム要件
    • 導入フローの紹介
    • よくあるご質問
  • 構築事例
    • 構築事例一覧(PC)
    • 構築事例一覧(携帯)
    • 構築事例インタビュー
    • 掲載記事紹介
    • 構築事例申請フォーム
  • 導入方法
    • EC-CUBEデモサイト
    • EC-CUBEダウンロード
    • 商用ライセンス
    • ドキュメント
    • ユーザー登録/メルマガ
    • イベント情報
  • カスタマイズ
    • すぐ使える決済モジュール
    • おすすめサービス
    • 制作会社を探す
    • レンタルサーバを探す
  • パートナー募集
    • コミッター(開発者)
    • インテグレートパートナー
    • アライアンスパートナー
    • ホスティングパートナー
初めての方へ
EC-CUBEとは
構築事例を見る
デモサイトを見る
レンタルサーバを探す
制作会社を探す
利用中の方へ
決済モジュールを探す
おすすめサービスを探す
商用ライセンス検討
構築事例を申請
イベント情報を見る
メルマガ登録(無料)
参加したい方へ
開発に参加
自社サービスと連携
制作パートナーに登録
ホスティング環境提供
EC-CUBEに寄付する
EC-CUBE公式ガイドブック
基本編
EC-CUBE公式ガイドブック
カスタマイズ編
EC-CUBEワンパッケージサービス「EC-CUBE One!」
ゆくゆくはEC-CUBEに移行可能な「EC-CUBE ASP」
ゆくゆくはEC-CUBEに移行可能な「EC-CUBE ASP」
PayPal×EC-CUBE 1,500円キャッシュバックキャンペーン
EC-CUBEダウンロード
SQLインジェクション脆弱性について(2008年10月29日)
 脆弱性の公表に関する重要なお願い 
ECサイト構築パッケージ「EC-CUBE」にSQLインジェクションの脆弱性が発見されました。
本脆弱性によりデータベースの改ざん、消去を行うことが可能となります。
早急に下記に示した対策をお取りください。

本脆弱性については、既にEC-CUBE開発チームとJPCERT/CC(有限責任中間法人 JPCERTコーディネーションセンター)が 連携して対応にあたっております。
脆弱性に関する情報 
-------------------------------------------------------------------
■脆弱性が存在するEC-CUBEのバージョン
-------------------------------------------------------------------
EC-CUBEの全てのバージョン(コミュニティ版も含む)
1系,2系全て該当します。 

-------------------------------------------------------------------
■修正方法について
-------------------------------------------------------------------

---------------
ver1
---------------
html/products/detail_image.php
----------------------------------------------------------------------------------
変更前
----------------------------------------------------------------------------------
$objQuery = new SC_Query();
$col = "name, $image_key";

----------------------------------------------------------------------------------
変更後
----------------------------------------------------------------------------------
$objQuery = new SC_Query();
$col = "name, $image_key";
if(!sfColumnExists("dtb_products",$_GET['image'])){
    sfDispSiteError(PRODUCT_NOT_FOUND); 
}
----------------------------------------------------------------------------------



---------------
ver2 
---------------
data/class/pages/products/LC_Page_Products_DetailImage.php
----------------------------------------------------------------------------------
変更前
----------------------------------------------------------------------------------
$objQuery = new SC_Query();
$col = "name, $image_key";

----------------------------------------------------------------------------------
変更後
----------------------------------------------------------------------------------
$objQuery = new SC_Query();
 // カラムが存在していなければエラー画面を表示
if(!$objDb->sfColumnExists("dtb_products",$image_key)){
    SC_Utils_Ex::sfDispSiteError(PRODUCT_NOT_FOUND);
}
$col = "name, $image_key";
----------------------------------------------------------------------------------



-------------------------------------------------------------------
EC-CUBEペイメント
人気ランキング
オーナーズストア
EC-CUBEペイメント決済モジュール
PayPal決済モジュール
EC-CUBEデザインテンプレート No.L0014
最新の発言
開発コミュニティ
最新のコミット
開発Trac
最新の更新
マニュアルサイト
個人情報保護方針 運営会社(株式会社ロックオン)
Copyright (c) LOCKON CO.,LTD. All Rights Reserved.