脆弱性

EC-CUBE3.0系におけるsymfony/http-foundationの脆弱性

  • 情報公開日:2020年 01月 22日
  • 危険度:中
  • 対象:Ver 3.0.0〜3.0.17
EC-CUBE3.0系で利用している、symfony/http-foundationに脆弱性が報告されました。
(本脆弱性における被害報告は現時点でございません)

概要:Invalid HTTP method overrides allow possible XSS or other attacks in Symfony
URL:https://github.com/advisories/GHSA-x92h-wmg2-6hp7

脆弱性そのものは、EC-CUBEのバージョンアップ、またはライブラリのアップデートにより
すぐに解決するものです。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
更新履歴
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2020/01/22 17:00 初版公開
2020/01/23 17:00 修正方法3を追記
2020/01/27 09:40 動作確認:表示を確認するhttp-foundationのバージョンをv2.7.51に修正

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
脆弱性の概要 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

概要:Invalid HTTP method overrides allow possible XSS or other attacks in Symfony
URL:https://github.com/advisories/GHSA-x92h-wmg2-6hp7

危険度: 中
不具合が存在するEC-CUBEのバージョン: 3.0.0〜3.0.17

※EC-CUBE 3.0.3以前をご利用の方へ

EC-CUBE 3.0.3以前のEC-CUBEには、本件以外にも複数の脆弱性がございます。
EC-CUBEのバージョンを3.0.4以上にバージョンアップした上で、本件の修正を反映してください。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
修正方法1:EC-CUBEのバージョンアップを行う場合 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE 3.0.18以降の最新版にバージョンアップしていただくことで、本件の脆弱性は修正されます。

以下を参考に、EC-CUBEのバージョンアップをお願い致します。

https://doc.ec-cube.net/quickstart_update

過去のEC-CUBEは以下のURLよりダウンロードいただくことが可能です。
http://downloads.ec-cube.net/src/eccube-3.0.xx.zip

※xxの箇所を希望のバージョン番号に変更してアクセスしてください。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
修正方法2:composerコマンドにて、symfony/http-foundationをアップデート 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

※EC-CUBE3.0.8以下のバージョンをお使いの方は、以下の手順ではアップデートできません。
 EC-CUBE3.0.9以上へバージョンアップいただく必要があります。

以下のコマンドを実行し、symfony/http-foundationを新してください。

$ composer update symfony/http-foundation

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
修正方法3:symfony/http-foundationのファイルを上書き 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

※EC-CUBE3.0.8以下のバージョンをお使いの方は、以下の手順ではアップデートできません。
 EC-CUBE3.0.9以上へバージョンアップいただく必要があります。

vendor/symfony/http-foundation/Request.php を以下のURLからダウンロードします。
https://raw.githubusercontent.com/symfony/symfony/2.7/src/Symfony/Component/HttpFoundation/Request.php

[EC-CUBEの設置先]/vendor/symfony/http-foundation/Request.php に上書きをしてください。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
動作確認
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

フロント画面および管理画面にアクセスし、正常に表示されるかどうかを確認してください。

また、以下のコマンドを実行し、symfony/http-foundationが更新されていることを確認してください。
$ composer show | grep symfony/http-foundation

※以下のように表示されることを確認してください。
symfony/http-foundation v2.7.51 Symfony HttpFoundation Component

※修正方法3で対応した場合は、composerによる確認手順は不要です。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
問い合わせ先 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

EC-CUBE 運営チーム 足立
MAIL:support@ec-cube.net

EC-CUBE® DemoSite

デモサイトで体験

最新ニュースやECノウハウをお届けします