ニュース

EC-CUBE 3系/4系 及びのEC-CUBE公式 メルマガ管理プラグインの脆弱性に関して(2022/02/21)

EC-CUBE 3系・4系、およびメルマガ管理プラグインで新たに見つかりました脆弱性(危険度:低)の情報と、修正方法についてお知らせします。
該当バージョン・該当プラグインを利用してサイトを運営されている場合は、内容をご確認のうえご対応をお願いいたします。

EC-CUBEバージョン別 運用環境セキュリティチェックリスト」につきましても、3系・4系のシートのNo.12をそれぞれ更新いたしました。該当バージョンでサイトを運営されている場合は、内容をご確認のうえご対応をお願いいたします。

なお、クラウド版「EC-CUBE」であるec-cube.co では、本件はすでに修正しておりますので安心してご利用ください。



1. HTTP Host ヘッダの処理に脆弱性


脆弱性の詳細


危険度: 低
不具合が存在するEC-CUBEのバージョン:
- 4.0.0~4.1.1
- 3.0.0~3.0.18-p3

EC-CUBEに対するリクエストの Hostヘッダを改変することで、正規でないURLが生成される脆弱性。

参考: ご利用中のEC-CUBEのバージョンを確認する方法

修正について


4系では、環境変数 TRUSTED_HOSTS の設定を行ってください。なお、本日リリースしました最新版のEC-CUBE 4.1.2 では、TRUSTED_HOSTはインストール時に自動設定されるようになります。
3系は、修正用のファイルを公開しております。

詳しくは脆弱性の詳細ページをご確認ください。



2. メルマガ管理プラグインにおける CSRFの脆弱性


脆弱性の詳細


危険度: 低
不具合が存在するメルマガ管理プラグインのバージョン:
- 4.0.0〜4.1.1 (EC-CUBE 4系対応)
- 1.0.0〜1.0.4 (EC-CUBE 3系対応)

メルマガ管理プラグインをインストールおよび有効化した状態において、管理画面にログインした状態の管理者権限を持つユーザが、細工されたページに誘導され特定のURLにアクセスした場合、意図せず送信履歴やメルマガテンプレートを削除される CSRF脆弱性。

修正について


3系・4系とも、メルマガ管理プラグインを最新版にバージョンアップしていただくことで、本件の脆弱性は修正されます。

詳しくは脆弱性の詳細ページをご確認ください。



セキュリティに関する注意喚起


セキュリティ対策についてEC-CUBEを安全にご利用いただくためには、ご利用の環境にあわせて正しくセットアップされていること、既知の脆弱性などのパッチやバージョンアップがされていることが大切です。

以下特集ページにて、セキュリティ対策についてまとめております。
この機会にあらためてご確認をお願いいたします。

https://www.ec-cube.net/info/security/


EC-CUBEのセキュリティへの取り組み


EC-CUBEでは、安心して運営・開発をしていただけるよう、お使いの事業者、開発者を含めたコミュニティと共に、セキュリティ向上に努めています。今回脆弱性を発見したEC-CUBE本体への脆弱性診断の他にも、今後セキュリティへの取り組みとして以下を予定しています。
 ・VAddyやOWASP ZAPによるセキュリティテスト自動化と利用啓発
 ・カスタマイズ時やプラグイン制作時に利用できるセキュアコーディングガイドの作成
 ・インテグレートパートナーとセキュリティ対策の内容検討会、対策についての講習会の実施(2022/2月~3月)  等

これまで行ってきたEC-CUBEのセキュリティ向上への取り組みはこちらをご覧ください。

EC-CUBE公式アドバイザー
ご相談窓口

  • 他社のASPやパッケージとの違いを知りたい
  • BtoCのサイトにBtoB機能を追加したい
  • 何から手をつければよいかわからない
  • オープンソースならではの注意事項を知りたい
  • 自社にマッチした制作会社を探したい
  • サイト制作だけでなく運営もサポートしてほしい

新規構築・リニューアル・取引先向けのWeb受発注システム(BtoB)や事業の拡大など、
今抱えている課題を解決する最適な業者探しを、アドバイザーがお手伝いします。