EC-CUBE 3.0系の3件の脆弱性に関しまして
更新履歴 
2016/4/18 12:00 告知ページの公開。
本件の概要   修正方法
EC-CUBE 脆弱性に関するお知らせ 
いつもEC-CUBEをご利用いただきまして、誠にありがとうございます。
株式会社ロックオンEC-CUBE運営チームです。

EC-CUBE 3.0.0~3.0.93件 の脆弱性があることが判明いたしました。
(本脆弱性における被害報告は現時点でございません)

脆弱性そのものは、EC-CUBEのバージョンアップ、または修正ファイルの反映により
すぐに解決するものです。

皆様にはお手数おかけしまして誠に申し訳ございません。
対策を早急に講じていただきますよう、どうぞよろしくお願い申し上げます。

脆弱性の概要 
1.管理画面のIP制限機能に関する脆弱性

危険度: 低
不具合が存在するEC-CUBEのバージョン: 3.0.0~3.0.9

2.管理画面の権限管理機能に関する脆弱性

危険度: 低
不具合が存在するEC-CUBEのバージョン: 3.0.7~3.0.9

3.クロスサイトリクエストフォージェリの脆弱性

危険度: 中
不具合が存在するEC-CUBEのバージョン: 3.0.0~3.0.9

※EC-CUBE 3.0.3以前をご利用の方へ

EC-CUBE 3.0.3以前のEC-CUBEには、本件以外にも複数の脆弱性がございます。
EC-CUBEのバージョンを3.0.4以上にバージョンアップした上で、本件の修正を反映してください。

本件の脆弱性を修正する方法が3つございます。
皆様の環境に合わせて、修正方法1~3よりいずれかを選択をしてください。
修正方法1:EC-CUBEのバージョンアップを行う場合 
EC-CUBE 3.0.10以降の最新版にバージョンアップしていただくことで、本件の脆弱性は修正されます。
    http://www.ec-cube.net/download/
修正方法2:修正用の差分ファイルを利用する場合 
以下の手順に従って、修正ファイルの反映をお願いいたします。
修正ファイルには3件すべての修正内容が含まれています。
  1. 修正ファイルのダウンロード
    ご利用中のEC-CUBEのバージョンに該当する修正ファイルをダウンロードしてください。

    [バージョンの確認方法]
    EC-CUBE管理画面へログイン後、設定>システム設定>システム情報 にて確認できます。

    [修正ファイル]
    EC-CUBE 3.0.4用 (md5:356381b53d0d9b3e179e52b102fd6d3c)
    EC-CUBE 3.0.5用 (md5:6ef6223ddd40f8a69037d751d06b8b8a)
    EC-CUBE 3.0.6用 (md5:69e52bcddbb274ccb033f65469465c5e)
    EC-CUBE 3.0.7用 (md5:daff14fea2590408a099cbb3686c4a56)
    EC-CUBE 3.0.8用 (md5:67f086c069c40ed199afc148203d79cf)
    EC-CUBE 3.0.9用 (md5:08856f14434b9059934952ffa0cdd125)

    ※EC-CUBE 3.0.3以前のEC-CUBEには、本件以外にも複数の脆弱性がございます。
    ※EC-CUBEのバージョンを3.0.4以上にバージョンアップした上で、本件の修正を反映してください。

  2. EC-CUBEファイルのバックアップ
    EC-CUBEファイル全体のバックアップを行ってください。

  3. 修正ファイルの反映
    ダウンロードしたファイルを解凍し、EC-CUBEファイルに上書きをしてください。

    ※修正ファイルはディレクトリ構造になっているため、ルートディレクトリからそのまま上書きが可能です。
    ※EC-CUBE本体のカスタマイズをしている場合、修正箇所の差分をご確認のうえ反映をお願いします。
    ※開発環境がある場合は、開発環境での反映・動作確認を行った後に、本番環境への反映をおすすめします。

  4. Twigキャッシュの削除
    キャッシュを削除しないと、変更が反映されない場合がございます。
    リンク先の手順を参照して削除してください。
    Twigキャッシュの削除方法

  5. 動作確認
    管理画面より、下記の動作をご確認ください。
    ・管理画面に正常にログインできる
    ・システム設定>権限管理で、権限管理機能が利用できる
    ・商品管理>商品マスターで、商品のコピーができる
    ・商品管理>商品登録で、商品画像の登録ができる
    ・ショップ設定>支払方法管理で、支払い方法のロゴ登録ができる

修正方法3:修正差分を確認して適宜反映する場合 
EC-CUBE本体のソースコードをカスタマイズされている方向けです。
下記のコード差分情報を参照して頂き、必要な箇所に修正を反映してください。

    コード差分情報のダウンロードはこちら

Twigキャッシュの削除方法 
EC-CUBE 3.0.1~3.0.7をご利用の場合

コンソールコマンドにてキャッシュの削除が可能です。
EC-CUBEのディレクトリで下記のコマンドを実行してください。
# php app/console cache:clear

EC-CUBE 3.0.8~をご利用の場合

管理画面よりキャッシュの削除が可能です。
管理画面 > コンテンツ管理 > キャッシュ管理 より[キャッシュクリア]を実行してください。

FAQ 
Q. 私のサイトは大丈夫ですか?

A.
まずは対象バージョンをお確かめください。
脆弱性対象バージョンのEC-CUBEをお使いの場合、対象ファイルを確認ください。
修正がされていない場合、修正方法に沿って修正の対応をお願いいたします。

オフィシャルホスティングパートナーをご利用の場合」
インテグレートパートナーが構築している場合」
既に対策されている場合がございます。各パートナー担当者様へお問い合わせ下さい。

この度は、お手数おかけいたしますことを深くお詫び申し上げます。
謝辞 
本情報は、お問い合わせいただきました開発者様よりご提供いただきました。
この場をお借りして、厚く御礼申し上げます。
問い合わせ先 
EC-CUBE 運営チーム 足立、遠藤
MAIL:support@ec-cube.net