EC-CUBE 3.0系/4.0系において新たな脆弱性が発見されました。また、それに対する修正方法がリリースされましたのでお知らせします。現在、EC-CUBE3系または4系をご利用の方は必ず確認して修正を行ってください。
脆弱性の内容
| 概要 | ディレクトリトラバーサルの脆弱性 |
|---|---|
| 危険度 | 中 |
| 影響バージョン | 4.0.0~4.0.3, 3.0.0~3.0.18 |
| 内容 | 管理画面の商品登録機能を利用して任意のパスのファイル・ディレクトリの削除が行える可能性があります。なお、実行には管理画面にログインし、サーバー内のファイル・ディレクトリの削除権限を持つユーザーでEC-CUBEが実行されている必要があります。 |
修正方法
2020年6月17日にリリースされた最新版(EC-CUBE4.0.4)にバージョンアップしてください。
このバージョンアップには次の内容が含まれています。
- PHP7.4のサポート
- SameSite属性の仕様変更への対応
- その他、軽微な改善や不具合修正による安定性の向上
バージョンアップに際して
EC-CUBEのバージョンアップに伴い、利用中のプラグインが正常に動作するか必ず確認してください。
バージョンアップに関して何か不明点がございましたら、当社または取引している制作会社に問い合わせてください。
