脆弱性

ディレクトリトラバーサルの脆弱性

  • 情報公開日:2013年 06月 26日
  • 危険度:低
  • 対象:Ver 2.12.4 以前
-------------------------------------------------------------------
■脆弱性の種類
-------------------------------------------------------------------
ディレクトリトラバーサルに関する脆弱性

-------------------------------------------------------------------
■不具合が存在するEC-CUBEのバージョン
-------------------------------------------------------------------
全てのバージョン(2.4系以下/2.11系/2.12系)

-------------------------------------------------------------------
■修正方法について(以下は Ver2.12.4 の修正となっております。)
-------------------------------------------------------------------
/data/class/pages/LC_Page_ResizeImage.php::lfCheckFileName
に以下の変更を加えます。

※修正ファイルの詳細はこちらをご確認ください
http://www.ec-cube.net/info/weakness/20130626/index.php

▽LC_Page_ResizeImage.php
108行目付近
-------------------------------------------------------------------
 変更前
-------------------------------------------------------------------
$file    = trim($_GET['image']);
if (preg_match_all($pattern, $file, $matches)) {
   return false;
-------------------------------------------------------------------

-------------------------------------------------------------------
 変更後
-------------------------------------------------------------------
$file    = trim($_GET['image']);
if (!preg_match("/^[[:alnum:]_\.-]+$/i", $file)) {
    return false;
-------------------------------------------------------------------

下記のリビジョンで修正
http://svn.ec-cube.net/open_trac/changeset/22863

今すぐネットショップをはじめよう!

資料請求サービス紹介資料をダウンロード

制作パートナーを探す探し方はEC-CUBEのアドバイザーに相談
最新ニュースやECノウハウをお届けします
メールマガジン登録はコチラ
  1. ホーム
  2. 脆弱性
close icon
EC-CUBEペイメントプラス

決済導入なら、EC-CUBE公式決済

公式決済について詳しく知る
EC-CUBE公式 Amazon Pay

CVRアップの事例多数

Amazon Payについて詳しく知る

無料相談受付中!

アドバイザーに相談する