EC-CUBE 3.0系:クリックジャッキング脆弱性/DoSの危険性
更新履歴 
2020/11/26
パートナー向けの事前告知としてページの公開。

本件の概要   修正方法
脆弱性に関する修正のお知らせ 
いつもEC-CUBEをご利用いただきまして、誠にありがとうございます。

EC-CUBE 3.0系2件の脆弱性があることが判明いたしました。
(本脆弱性における被害報告は現時点でございません)

脆弱性そのものは、または修正ファイルの反映によりすぐに解決するものです。

皆様にはお手数おかけし誠に申し訳ございません。
できるだけ速やかなご対応をお願い致します。

脆弱性の概要 
1.クリックジャッキングの脆弱性

危険度:


不具合が存在するEC-CUBEのバージョン:
3.0.0~3.0.18

詳細:
EC-CUBEの画面を外部サイトからフレーム内に読み込むことができます。
悪意のある第三者により用意された外部サイトへアクセスすることで、利用者が意図しない更新操作を誘導される危険性があります。

2.DoSの危険性性

危険度:


不具合が存在するEC-CUBEのバージョン:
3.0.5~3.0.18

詳細:
適切な入力チェックを行っていない箇所があり、サーバーに負荷がかかり、システムエラーが発生する場合があります。

修正方法 
開発環境がある場合は、まず開発環境でお試しください。
皆様の環境に合わせて、以下修正方法よりいずれかをご選択ください。

修正方法1:修正用の差分ファイルを利用する 
▼3.0系

以下の手順に従って、修正ファイルの反映をお願いいたします。
  1. 修正ファイルのダウンロード

    ご利用中のEC-CUBEのバージョンに該当する修正ファイルをダウンロードしてください。 [バージョンの確認方法]
    こちらの手順でご確認ください。

    [修正ファイル]
    EC-CUBE 3.0系用 (md5:2995cdc94e06d0550a98c670aa4b8320)

    ダウンロード後、zipファイルを解凍していただきますと、各バージョンごとフォルダが別れており、その中に修正ファイルがあります。必ず該当するバージョンのファイルをご利用ください。

    ※EC-CUBE 3.0.3以前のEC-CUBEには、本件以外にも複数の脆弱性がございます。
    ※EC-CUBEのバージョンを3.0.4以上にバージョンアップした上で、本件の修正を反映してください。

  2. EC-CUBEファイルのバックアップ
    あらかじめEC-CUBEファイル全体のバックアップを行ってください。

  3. 修正ファイルの反映
    手順1で用意したファイルで、以下のファイルを上書き更新してください。

    上書きするファイル:
    html/.htaccess
    html/web.config
    .htaccess.sample
    web.config.sample
    src/Eccube/Service/CartService.php

    ※EC-CUBE本体のカスタマイズをしている場合、修正箇所の差分をご確認のうえ反映をお願いします。
    ※開発環境がある場合は、開発環境での反映・動作確認を行った後に、本番環境への反映をおすすめします。

  4. 動作確認
    トップページにアクセスし、ページが正常に表示されることをご確認ください。
    商品詳細ページにアクセスし、カートへの商品追加が正常に行えることをご確認ください。

修正方法2:修正差分を確認して適宜反映する場合 
▼3.0系

EC-CUBE本体のソースコードをカスタマイズされている方向けです。
下記のコード差分情報を参照して頂き、必要な箇所に修正を反映してください。
    EC-CUBE 3.0系 の差分
FAQ 
Q. 私のサイトは大丈夫ですか?

A.
まずは本件の対象バージョンをご利用中かどうかをお確かめください。
対象バージョンのEC-CUBEをお使いの場合、修正方法2にある修正ファイルが反映されているかをご確認下さい。

オフィシャルホスティングパートナーをご利用の場合
インテグレートパートナーが構築している場合
既に対策されている場合がございます。各パートナー担当者様へお問い合わせ下さい。

この度は、お手数おかけいたしますことを深くお詫び申し上げます。

謝辞 
本件の情報は、お問い合わせ頂きました開発者様よりご提供いただきました。
この場をお借りして、厚く御礼申し上げます。

問い合わせ先 
EC-CUBE 運営チーム 足立
MAIL:support@ec-cube.net