EC-CUBE 3.0系のオープンリダイレクト脆弱性について
更新履歴 
2018/11/13 10:30 告知ページの公開。
2018/11/27 16:00 「EC-CUBEのバージョンアップを行う場合」の項を追加。
本件の概要   修正方法
EC-CUBE オープンリダイレクト脆弱性に関する修正のお知らせ 
いつもEC-CUBEをご利用いただきまして、誠にありがとうございます。
株式会社ロックオンEC-CUBE運営チームです。

EC-CUBE 3.0.0~3.0.16に、1件の脆弱性があることが判明いたしました。
(本脆弱性における被害報告は現時点でございません)

脆弱性そのものは、EC-CUBEのバージョンアップ、または修正ファイルの反映により
すぐに解決するものです。

皆様にはお手数おかけし誠に申し訳ございません。
本件は、他の脆弱性との組み合わせでのみ発生するため、緊急度は「低」となりますが、
できるだけ速やかに対応をお願いします。

脆弱性の概要 
1.オープンリダイレクト脆弱性

危険度: 低
不具合が存在するEC-CUBEのバージョン: 3.0.0~3.0.16

※EC-CUBE 3.0.3以前をご利用の方へ

EC-CUBE 3.0.3以前のEC-CUBEには、本件以外にも複数の脆弱性がございます。
EC-CUBEのバージョンを3.0.4以上にバージョンアップした上で、
本件の修正を反映してください。

※開発環境がある場合は、まず開発環境でお試しください。
皆様の環境に合わせて、以下修正方法よりいずれかを選択ください。
修正方法1:EC-CUBEのバージョンアップを行う場合 
EC-CUBE 3.0.17以降の最新版にバージョンアップしていただくことで、本件の脆弱性は修正されます。
以下を参考に、EC-CUBEのバージョンアップをお願い致します。
    http://doc.ec-cube.net/quickstart_update
修正方法2:修正用の差分ファイルを利用する場合 
以下の手順に従って、修正ファイルの反映をお願いいたします。
  1. 修正ファイルのダウンロード

    ご利用中のEC-CUBEのバージョンに該当する修正ファイルをダウンロードしてください。

    [バージョンの確認方法]
    EC-CUBE管理画面へログイン後、設定>システム設定>システム情報にて確認できます。
    カスタマイズによってシステム情報が表示されない場合は、以下のファイルをご確認ください。

    ▼src/Eccube/Common/Constant.php(31行目付近)
    < 例>-------------------------------------
    /**
    * EC-CUBE VERSION.
    */
    const VERSION = '3.0.16';
    -----------------------------------------
    上記の例の場合、EC-CUBEのバジョンは3.0.16となります。

    [修正ファイル]
    EC-CUBE 3.0.4用 (md5:1cfdc6c0d3f54fa8bbde9f36c4c897ba)
    EC-CUBE 3.0.5用 (md5:cd2266eca557ce817d76f3a369106fa8)
    EC-CUBE 3.0.6用 (md5:22c91f4c60c5cc1e52885fe7c47e9e3e)
    EC-CUBE 3.0.7用 (md5:1770b347ee76c33ac327fdc73bdcc8d8)
    EC-CUBE 3.0.8用 (md5:0c30e41e514b73e49ff4bd15384815ee)
    EC-CUBE 3.0.9用 (md5:101405c88d7b0e3cddc9137523c5b94e)
    EC-CUBE 3.0.10用 (md5:9ee827d5ff3cf14672edf3baa380a1d4)
    EC-CUBE 3.0.11用 (md5:12f57c87836cd25a2df5994420481179)
    EC-CUBE 3.0.12用 (md5:b1fc155d524119145b29cf0602f8e7b9)
    EC-CUBE 3.0.13用 (md5:d3b99d4aeb942fb71f2ed713022758c6)
    EC-CUBE 3.0.14用 (md5:ece6c28918c8f3b28551d1a4ce06180b)
    EC-CUBE 3.0.15用 (md5:1ac619e2df9966710cadc260a0c4894e)
    EC-CUBE 3.0.16用 (md5:a0ee8dd6e3b28926fe356edddabd7bfb)

    ※EC-CUBE 3.0.3以前のEC-CUBEには、本件以外にも複数の脆弱性がございます。
    ※EC-CUBEのバージョンを3.0.4以上にバージョンアップした上で、本件の修正を反映してください。

  2. EC-CUBEファイルのバックアップ
    EC-CUBEファイル全体のバックアップを行ってください。

  3. 修正ファイルの反映
    ダウンロードしたファイルを解凍し、EC-CUBEファイルに上書きをしてください。

    ※修正ファイルはディレクトリ構造になっているため、ルートディレクトリからそのまま上書きが可能です。
    ※EC-CUBE本体のカスタマイズをしている場合、修正箇所の差分をご確認のうえ反映をお願いします。
    ※開発環境がある場合は、開発環境での反映・動作確認を行った後に、本番環境への反映をおすすめします。

  4. 動作確認
    フロント画面および管理画面のログイン画面にて、正常にログインができるかどうかを確認してください。

修正方法3:修正差分を確認して適宜反映する場合 
EC-CUBE本体のソースコードをカスタマイズされている方向けです。
下記のコード差分情報を参照して頂き、必要な箇所に修正を反映してください。

1) 修正ファイルをダウンロードし、
src/Eccube/Security/Http/Authentication/EccubeAuthenticationFailureHandler.php
src/Eccube/Security/Http/Authentication/EccubeAuthenticationSuccessHandler.php
の2ファイルをコピーしてください。

2) src/Eccube/Application.phpを、以下の差分情報に従って必要箇所を修正してください

    コード差分情報のダウンロードはこちら

FAQ 
Q. 私のサイトは大丈夫ですか?

A.
まずは対象バージョンをお確かめください。
脆弱性対象バージョンのEC-CUBEをお使いの場合、対象ファイルを確認ください。
修正がされていない場合、修正方法に沿って修正の対応をお願いいたします。

オフィシャルホスティングパートナーをご利用の場合」
インテグレートパートナーが構築している場合」
既に対策されている場合がございます。各パートナー担当者様へお問い合わせ下さい。

この度は、お手数おかけいたしますことを深くお詫び申し上げます。
謝辞 
本情報は、お問い合わせいただきました開発者様よりご提供いただきました。
この場をお借りして、厚く御礼申し上げます。
問い合わせ先 
EC-CUBE 運営チーム 足立
MAIL:support@ec-cube.net