EC-CUBE 2系 に、認可制御不備の危険性が報告されました。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
脆弱性の概要
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
認可制御の不備
危険度:
低
不具合が存在するEC-CUBEのバージョン:
2.11.2 〜 2.17.1
詳細:
店舗オーナー権限を持つユーザによって、本来操作権限のないシステム設定の変更が可能となる認可制御の不備。
なお、管理画面の「システム設定」→「マスタデータ管理」より、mtb_permission の ID を管理画面URLと同じディレクトリ名に変更することで回避可能です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
修正方法について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
今回の脆弱性は、修正差分の適用により解決することができます。
以下いずれかの方法で、ご対応をお願い致します。
修正方法1: EC-CUBE 2.17.2 へバージョンアップする
修正方法2: 修正箇所のソースコード差分を確認し必要に応じて適用する
修正方法の詳細は、下記のページをご確認ください。
https://www.ec-cube.net/info/weakness/20211111/
