EC-CUBE 日本発のECオープンソース
EC-CUBEのダウンロード(FREE) EC-CUBEのデモサイト
Global Menu
  • 製品情報
    • EC-CUBEとは
    • 機能一覧
    • システム要件
    • 導入フローの紹介
    • よくあるご質問
  • 構築事例
    • 構築事例一覧(PC)
    • 構築事例一覧(携帯)
    • 構築事例インタビュー
    • 掲載記事紹介
    • 構築事例申請フォーム
  • 導入方法
    • EC-CUBEデモサイト
    • EC-CUBEダウンロード
    • 商用ライセンス
    • ドキュメント
    • ユーザー登録/メルマガ
    • イベント情報
  • カスタマイズ
    • すぐ使える決済モジュール
    • おすすめサービス
    • 制作会社を探す
    • レンタルサーバを探す
  • パートナー募集
    • コミッター(開発者)
    • インテグレートパートナー
    • アライアンスパートナー
    • ホスティングパートナー
初めての方へ
EC-CUBEとは
構築事例を見る
デモサイトを見る
レンタルサーバを探す
制作会社を探す
利用中の方へ
決済モジュールを探す
おすすめサービスを探す
商用ライセンス検討
構築事例を申請
イベント情報を見る
メルマガ登録(無料)
参加したい方へ
開発に参加
自社サービスと連携
制作パートナーに登録
ホスティング環境提供
EC-CUBEに寄付する
EC-CUBE公式ガイドブック
基本編
EC-CUBE公式ガイドブック
カスタマイズ編
EC-CUBEワンパッケージサービス「EC-CUBE One!」
ゆくゆくはEC-CUBEに移行可能な「EC-CUBE ASP」
ゆくゆくはEC-CUBEに移行可能な「EC-CUBE ASP」
PayPal×EC-CUBE 1,500円キャッシュバックキャンペーン
顧客情報漏洩の脆弱性について(2009年12月7日)
 顧客情報漏洩の脆弱性について 
いつもEC-CUBEをご利用いただきまして、誠にありがとうございます。
株式会社ロックオンEC-CUBE開発チームです。

2009/11/27、EC-CUBE2.4系のバージョンに顧客情報漏洩の脆弱性があることが判明いたしました。
顧客情報が、一般ユーザーのブラウザ上から閲覧できる、極めて緊急度の高い深刻な脆弱性です。

本来であれば即時対策版を公開するところではございましたが、本脆弱性が公開されることにより、すでにEC-CUBEでECサイトを運営している方が、攻撃を受け個人情報の流出などに繋がる可能性を低くするために、段階的に公開を行って参りました。


脆弱性そのものは
/data/class/pages/admin/customer/LC_Page_Admin_Customer_SearchCustomer.php
というファイルの該当ソースコードの修正、または上書きにより、すぐに解決するものです。

皆様にはお手数おかけしまして誠に申し訳ございませんが、対策を早急に講じて頂きますよう、どうかよろしくお願い申し上げます。
 修正ファイルのダウンロード 
こちらをダウンロードしてください。
本不具合に対する対応方法 
-------------------------------------------------------------------
■不具合が存在するEC-CUBEのバージョン
-------------------------------------------------------------------
EC-CUBE 正式版         2.4.0 RC1 以降 (2009年3月31日公開)
EC-CUBE コミュニティ版  r18068〜r18428 (2009年6月10日版〜2009年12月7日版)


-------------------------------------------------------------------
■修正方法について
-------------------------------------------------------------------

/data/class/pages/admin/customer/LC_Page_Admin_Customer_SearchCustomer.php#process
の最初に以下のログイン確認コードを挿入します。

■56行目付近
-------------------------------------------------------------------
 変更前
-------------------------------------------------------------------
function process()
{
    $objView = new SC_AdminView();
-------------------------------------------------------------------

-------------------------------------------------------------------
 変更後
-------------------------------------------------------------------
function process()
{
   // 認証可否の判定
   $objSess = new SC_Session();
   SC_Utils_Ex::sfIsSuccess($objSess);

   $objView = new SC_AdminView();
-------------------------------------------------------------------
 FAQ 
Q. 私のサイトは大丈夫か?
A. まずは対象バージョンをお確かめ下さい。2.3以下のバージョンの場合は対策不要です。
2.4系の場合、対象ファイルに変更後に記載されている認証判定が記入されているかご確認下さい。
オフィシャルホスティングパートナーをご利用の場合・インテグレートパートナーが構築した場合、既に対策されている場合がございます。

この度の脆弱性により、多大なるご迷惑・ご心配をおかけいたしましました事、深くお詫び申し上げます。
 謝辞 
本情報は、インテグレートパートナーの株式会社システムフレンド様よりご提供頂きました。この場をお借りして厚く御礼申し上げます。
EC-CUBEペイメント
人気ランキング
オーナーズストア
EC-CUBEペイメント決済モジュール
PayPal決済モジュール
EC-CUBEデザインテンプレート No.L0014
最新の発言
開発コミュニティ
最新のコミット
開発Trac
最新の更新
マニュアルサイト
個人情報保護方針 運営会社(株式会社ロックオン)
Copyright (c) LOCKON CO.,LTD. All Rights Reserved.