JavaScript を有効にしてご利用下さい.
EC-CUBE
®
製品
自社サーバーに無料インストール
ダウンロードして使う
すぐに始めてメンテナンスフリー
クラウドで使う
※新規受付停止中
開発者向けシステム仕様など
開発情報
機能
EC-CUBEの魅力をご紹介
選ばれる理由
充実した基本機能
機能一覧
経営資源を一元管理
基幹システム連携
操作感や各機能をお試しください
デモサイト
決済サービス
導入事例
各種ご相談
サポート
サポート窓口をご案内
サポート
EC-CUBEに関する質問まとめ
よくあるご質問
セキュリティ
安心・安全にご利用頂くために
セキュリティ対策
脆弱性情報をご確認頂けます
脆弱性リスト
ニュース
EC-CUBEのニュース・リリース
ニュース
さまざまなセミナーを随時開催中
イベントセミナー情報
パートナーについて
EC-CUBEでビジネス展開
パートナー制度ご紹介
ご紹介資料や技術情報など
お役立ち資料
パートナー専用ページへ
ログイン
お問い合わせ
ストア
ニュース
EC-CUBE 3.0系/4.0系 1件の脆弱性の修正についてのお知らせ(2020/06/17)
EC-CUBE 3.0系/4.0系で新たに見つかりました1件の脆弱性の情報と、修正方法についてお知らせします。
該当バージョンでサイトを運営されている場合は、内容をご確認のうえご対応をお願い致します。
なお
クラウド版「EC-CUBE」であるec-cube.co
では、本件はすでに修正しておりますので安心してご利用ください。
【6/25追記】「
EC-CUBEバージョン別 運用環境セキュリティチェックリスト
」につきましても、3系・4系のシートの8行目、12行目をそれぞれ更新いたしました。
該当バージョンでサイトを運営されている場合は、内容をご確認のうえご対応をお願いいたします。
脆弱性の詳細
ディレクトリトラバーサルの脆弱性
危険度:中
影響バージョン:4.0.0~4.0.3, 3.0.0~3.0.18
管理画面の商品登録機能を利用して任意のパスのファイル・ディレクトリの削除が行える可能性があります。
なお、実行には管理画面にログインし、サーバー内のファイル・ディレクトリの削除権限を持つユーザーでEC-CUBEが実行されている必要があります。
参考:
ご利用中のEC-CUBEのバージョンを確認する方法
修正について
4.0系は、本日リリースしました最新版のEC-CUBE 4.0.4で修正済みです。修正用のファイルも公開しております。
3.0系は、修正用のファイルを公開しております。
詳しくは
脆弱性リスト
より詳細をご確認ください。
安全にご利用頂くために〜セキュリティに関する注意喚起〜
昨今、管理画面への不正アクセスの事例が報告されています。
多くの場合、管理画面の基本的な対策を行っていないことが原因となっておりますので、以下ご確認と対策をお願いいたします。
- logなど外部に公開されるべきでないファイルの外部からのアクセスを制限する
- 管理画面はIP制限やBasic認証等により、外部からのアクセスを制限する
- 公開済みの脆弱性の対応を行う
など、基本的な対策をおこなっていただくようにお願いいたします。
詳しくはセキュリティ対策についての特設サイトをご覧ください。
https://www.ec-cube.net/info/security/
該当バージョンでサイトを運営されている場合は、内容をご確認のうえご対応をお願い致します。
なおクラウド版「EC-CUBE」であるec-cube.coでは、本件はすでに修正しておりますので安心してご利用ください。
【6/25追記】「EC-CUBEバージョン別 運用環境セキュリティチェックリスト」につきましても、3系・4系のシートの8行目、12行目をそれぞれ更新いたしました。
該当バージョンでサイトを運営されている場合は、内容をご確認のうえご対応をお願いいたします。
脆弱性の詳細
ディレクトリトラバーサルの脆弱性
危険度:中
影響バージョン:4.0.0~4.0.3, 3.0.0~3.0.18
管理画面の商品登録機能を利用して任意のパスのファイル・ディレクトリの削除が行える可能性があります。
なお、実行には管理画面にログインし、サーバー内のファイル・ディレクトリの削除権限を持つユーザーでEC-CUBEが実行されている必要があります。
参考:ご利用中のEC-CUBEのバージョンを確認する方法
修正について
4.0系は、本日リリースしました最新版のEC-CUBE 4.0.4で修正済みです。修正用のファイルも公開しております。
3.0系は、修正用のファイルを公開しております。
詳しくは脆弱性リストより詳細をご確認ください。
安全にご利用頂くために〜セキュリティに関する注意喚起〜
昨今、管理画面への不正アクセスの事例が報告されています。
多くの場合、管理画面の基本的な対策を行っていないことが原因となっておりますので、以下ご確認と対策をお願いいたします。
- logなど外部に公開されるべきでないファイルの外部からのアクセスを制限する
- 管理画面はIP制限やBasic認証等により、外部からのアクセスを制限する
- 公開済みの脆弱性の対応を行う
など、基本的な対策をおこなっていただくようにお願いいたします。
詳しくはセキュリティ対策についての特設サイトをご覧ください。
https://www.ec-cube.net/info/security/