EC-CUBE 3.0系,4.0系:ディレクトリトラバーサル脆弱性について
更新履歴 
2020/6/17 14:00
脆弱性の情報を一般公表。

2020/6/16 9:00
2020/6/9に配布しました脆弱性の修正ファイルを適用した場合に、既存機能でデグレードの不具合が発生することがわかりました。
脆弱性については修正されており問題ございません。
修正ファイルを更新しましたので、修正方法2:修正用の差分ファイルを利用する場合をご確認ください。

EC-CUBE 4.0.4のリリース予定日を2020年6月16日→6月17日に変更。
2020/6/9 16:00
パートナー向けの事前告知としてページの公開。
本件の概要   修正方法
EC-CUBE ディレクトリトラバーサル脆弱性に関する修正のお知らせ 
いつもEC-CUBEをご利用いただきまして、誠にありがとうございます。

EC-CUBE 3.0系,4.0系1件の脆弱性があることが判明いたしました。
(本脆弱性における被害報告は現時点でございません)

脆弱性そのものは、EC-CUBEのバージョンアップ、または修正ファイルの反映によりすぐに解決するものです。

皆様にはお手数おかけし誠に申し訳ございません。
できるだけ速やかなご対応をお願い致します。

脆弱性の概要 
1.ディレクトリトラバーサルの脆弱性

危険度:


不具合が存在するEC-CUBEのバージョン:
3.0.0~3.0.18
4.0.0〜4.0.3

詳細:
管理画面の商品登録機能を利用して任意のパスのファイル・ディレクトリの削除が行える可能性があります。なお、実行には管理画面にログインし、サーバー内のファイル・ディレクトリの削除権限を持つユーザーでEC-CUBEが実行されている必要があります。

修正方法 
開発環境がある場合は、まず開発環境でお試しください。
皆様の環境に合わせて、以下修正方法よりいずれかをご選択ください。

修正方法1:EC-CUBEのバージョンアップを行う場合 
▼4.0系

EC-CUBE 4.0.4以降の最新版にバージョンアップしていただくことで、本件の脆弱性は修正されます。

EC-CUBE 4.0.4は2020年6月17日にリリース予定です。

開発ドキュメント「バージョンアップ」の手順を参考に、EC-CUBEのバージョンアップをお願い致します。

▼3.0系

3.0系はEC-CUBEのバージョンアップの予定はありません。
修正方法2の方法で、修正ファイルを反映してのご対応をお願い致します。

修正方法2:修正用の差分ファイルを利用する場合 
▼3.0系,4.0系

以下の手順に従って、修正ファイルの反映をお願いいたします。
  1. 修正ファイルのダウンロード

    ご利用中のEC-CUBEのバージョンに該当する修正ファイルをダウンロードしてください。

    2020年6月16日 追記

    2020年6月9日に配布しました修正ファイルを適用した場合に、既存機能でデグレードの不具合が発生することがわかりました。そのため新しい修正ファイルを配布しております。(脆弱性については以前の修正ファイルでも修正されており問題ございません)

    デグレード 不具合概要
    商品画像を追加・削除した場合に、商品情報を保存できない

    発生手順
    1.管理画面で商品登録の画面を開く(新規/編集いずれでも可)
    2.商品画像として画像ファイルをアップロードする
    3.手順2でアップロードした画像を画像右上の「×」をクリックして削除する
    4.ページ右下の「登録」ボタンをクリックする
     →「画像のパスが不正です」と表示されて保存できない(NG)

    以前に配布致しました修正ファイルでも脆弱性そのものは修正されておりますのでご安心ください。上記不具合の内容をご確認の上、修正ファイルの再適用をご検討お願い致します。

    [バージョンの確認方法]
    こちらの手順でご確認ください。

    [修正ファイル - 2020年6月16日 更新]
    EC-CUBE 3.0系用 (md5:4362c563aa094292616c9a2ff50277a6)
    EC-CUBE 4.0系用 (md5:50f20fe934cf004c493d5ca626aa7c5d)

    修正ファイルはいずれのバージョンでも1ファイルのみです。
    ダウンロードしていただきますと、各バージョンごとフォルダが別れており、その中に修正ファイル(ProductType.php)があります。必ず該当するバージョンのファイルをご利用ください。

    ※EC-CUBE 3.0.3以前のEC-CUBEには、本件以外にも複数の脆弱性がございます。
    ※EC-CUBEのバージョンを3.0.4以上にバージョンアップした上で、本件の修正を反映してください。

  2. EC-CUBEファイルのバックアップ
    あらかじめEC-CUBEファイル全体のバックアップを行ってください。

  3. 修正ファイルの反映
    手順1で用意したファイル(ProductType.php)で、以下のファイルを上書き更新してください。

    上書きするファイル:
    /src/Eccube/Form/Type/Admin/ProductType.php

    ※EC-CUBE本体のカスタマイズをしている場合、修正箇所の差分をご確認のうえ反映をお願いします。
    ※開発環境がある場合は、開発環境での反映・動作確認を行った後に、本番環境への反映をおすすめします。

  4. 動作確認
    管理画面にログインし、商品画像の登録・削除が正常に行えることをご確認ください。

修正方法3:修正差分を確認して適宜反映する場合 
▼3.0系,4.0系

EC-CUBE本体のソースコードをカスタマイズされている方向けです。
下記のコード差分情報を参照して頂き、必要な箇所に修正を反映してください。
    EC-CUBE 4.0系 の差分
    EC-CUBE 3.0系 の差分
FAQ 
Q. 私のサイトは大丈夫ですか?

A.
まずは本件の対象バージョンをご利用中かどうかをお確かめください。
対象バージョンのEC-CUBEをお使いの場合、修正方法2にある修正ファイルが反映されているかをご確認下さい。

オフィシャルホスティングパートナーをご利用の場合
インテグレートパートナーが構築している場合
既に対策されている場合がございます。各パートナー担当者様へお問い合わせ下さい。

この度は、お手数おかけいたしますことを深くお詫び申し上げます。

謝辞 
本件の情報は、株式会社シルクロード様 よりご提供いただきました。
この場をお借りして、厚く御礼申し上げます。

問い合わせ先 
EC-CUBE 運営チーム 足立
MAIL:support@ec-cube.net