脆弱性

EC-CUBE4.0系におけるsymfony/http-foundationの脆弱性

  • 情報公開日:2020年 01月 22日
  • 危険度:中
  • 対象:Ver 4.0.0〜4.0.2
EC-CUBE4.0系で利用している、symfony/http-foundationに脆弱性が報告されました。
(本脆弱性における被害報告は現時点でございません)

概要:Invalid HTTP method overrides allow possible XSS or other attacks in Symfony
URL:https://github.com/advisories/GHSA-x92h-wmg2-6hp7

脆弱性そのものは、EC-CUBEのバージョンアップ、またはライブラリのアップデートにより
すぐに解決するものです。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
更新履歴
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2020/01/22 17:00 初版公開
2020/01/23 17:00 修正方法3を追記

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
脆弱性の概要 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

概要:Invalid HTTP method overrides allow possible XSS or other attacks in Symfony
URL:https://github.com/advisories/GHSA-x92h-wmg2-6hp7

危険度: 中
不具合が存在するEC-CUBEのバージョン: 4.0.0〜4.0.2

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
修正方法1:EC-CUBEのバージョンアップを行う場合 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE 4.0.3以降の最新版にバージョンアップしていただくことで、本件の脆弱性は修正されます。

以下を参考に、EC-CUBEのバージョンアップをお願い致します。

https://doc4.ec-cube.net/quickstart_update

過去のEC-CUBEは以下のURLよりダウンロードいただくことが可能です。
http://downloads.ec-cube.net/src/eccube-4.0.xx.zip

※xxの箇所を希望のバージョン番号に変更してアクセスしてください。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
修正方法2:composerコマンドにて、symfony/http-foundationをアップデート 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

以下のコマンドを実行し、symfony/http-foundationを新してください。

$ composer update symfony/http-foundation

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
修正方法3:symfony/http-foundationのファイルを上書き 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

vendor/symfony/http-foundation/Request.php を以下のURLからダウンロードします。
https://raw.githubusercontent.com/symfony/symfony/3.4/src/Symfony/Component/HttpFoundation/Request.php

[EC-CUBEの設置先]/vendor/symfony/http-foundation/Request.php に上書きをしてください。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
動作確認
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

フロント画面および管理画面にアクセスし、正常に表示されるかどうかを確認してください。

また、以下のコマンドを実行し、symfony/http-foundationが更新されていることを確認してください。
$ composer show | grep symfony/http-foundation

※以下のように表示されることを確認してください。
symfony/http-foundation v3.4.37 Symfony HttpFoundation Component

※修正方法3で対応した場合は、composerによる確認手順は不要です。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
問い合わせ先 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

EC-CUBE 運営チーム 足立
MAIL:[email protected]

EC-CUBE公式アドバイザー
ご相談窓口

  • 他社のASPやパッケージとの違いを知りたい
  • BtoCのサイトにBtoB機能を追加したい
  • 何から手をつければよいかわからない
  • オープンソースならではの注意事項を知りたい
  • 自社にマッチした制作会社を探したい
  • サイト制作だけでなく運営もサポートしてほしい

新規構築・リニューアル・取引先向けのWeb受発注システム(BtoB)や事業の拡大など、
今抱えている課題を解決する最適な業者探しを、アドバイザーがお手伝いします。