[4系]プラグインインストール時の入力値チェック不備の脆弱性(JVN#48324254)

2024年に公開されている「クロスサイトスクリプティングの脆弱性(JVN#48324254)」について解説します。

この脆弱性は4.0、4.1、4.2の全バージョンが対象です。

本脆弱性の概要

EC-CUBEの管理画面にログインできる方が悪意を持って行動するか、あるいは第3者に行動を操作されることによって、EC-CUBEに対して任意のPHPパッケージをダウンロード可能となるという脆弱性です。

脆弱性修正の難易度について

それほど難しくありません。

この脆弱性は未カスタマイズ状態のEC-CUBEであれば、修正方法は該当箇所のControllerファイル修正とキャッシュクリアのみです。

日本発!ECオープンプラットフォーム「EC-CUBE」 EC-CUBEゴールドパートナー EC-CUBEは株式会社イーシーキューブの商標です
ECCUBE制作トップへ

EC-CUBEカスタマイズに関するお問い合わせはこちら


    [重要]現在公式にセキュリティサポートが切れていないPHPは8.1以上、MySQLは8.0以上で、対応しているEC-CUBEバージョンは4.2以上です。古いEC-CUBEを使っている方は適切なタイミングでバージョンアップをご検討ください。

    EC-CUBEバージョンアップ

    関連するカスタマイズ

    1. Compile Error: Cannot declare class … , because the name is already in use Customizeディレクトリ等に新しいクラスを作って動作確認を行うと次のようなコンパイルエラーが発生することがあります。 Compile Error: Cannot declare class Customize\Se […]...
    2. ロードバランサを使用するとHTTPS・SSLが認識されない場合の対応 ロードバランサにウェブサーバーを配置した場合、ロードバランサからウェブサーバーの通信はHTTPで行うことが多いと思います。 これ自体に問題はないのですが、せっかくブラウザからhttps://でアクセスしても、EC-CUB […]...
    3. [SEO,高速化]サイトの読み込み速度が遅くなった場合、ほとんどプログラムの書き方の問題 サイトが重くなったという理由で高速化のご相談をいただくことがよくあります。 EC-CUBE3系、4系でページの表示速度、管理画面の表示速度が遅くなったと感じる場合、原因はDoctrineによるメモリ消費かデータベースへの […]...