平素より当社サービスをご利用いただきまして、誠にありがとうございます。
KAGOYA Internet Routing で提供しております「EC-CUBE」について、提供元より
以下のバージョンには深刻な脆弱性があることが報告されました。
「EC-CUBE(2.11系/2.12系/2.13系)」
上記バージョンのEC-CUBEをご利用のお客様は、至急下記の対処方法を参考に
対応をお願いいたします。
(※コントロールパネルから新規インストールされるEC-CUBEは、本脆弱性への対応が済んでいます。)
——————————————————————————————————————————————————————————————————–
■対処方法について
——————————————————————————————————————————————————————————————————–
今回の脆弱性につきましては、eccube2_data 以下のファイルが対象になります。
例:EC-CUBE のインストール先が「public_html/eccube/shop」の場合
eccube2_data/eccube/shop 以下が対象です。
※eccube2_dataフォルダはpublic_htmlフォルダと同じ階層に存在します。
・「EC-CUBE 2.11.x」および「EC-CUBE 2.12.x」をお使いのお客様
対処手順
1.該当フォルダ以下のディレクトリを含む全ファイルを、弊社のバックアップ
サービスでバックアップいただくか、FTPでダウンロードしてください。
◇弊社コントロールパネル > システム > バックアップサービス
https://cp.kagoya.net/?a%5Bmid%5D%5Bmain%5D=backup
2.EC-CUBEの管理画面にログインし、トップページに表示されている「EC-CUBE
バージョン」を確認ください。
3.EC-CUBE公式サイトより、確認いただいたバージョンと同じバージョンの修正
ファイル(圧縮ファイル)をダウンロードして下さい。
◆修正ファイル一覧と修正方法
http://www.ec-cube.net/info/weakness/20131119/index.php
4.ダウンロードしたファイル(圧縮ファイル)を解凍し、eccube2_data 以下の
該当フォルダまたは該当ファイルに上書きしてください。
5.ご利用のEC-CUBEの動作を確認ください。
※修正によりプラグインが正常に動作しなくなる可能性がございます。
——————————————————————————————————————————————————————————————————–
■脆弱性について
——————————————————————————————————————————————————————————————————–
「EC-CUBE 2.12.3以上」には、提供元より以下のセキュリティホールの存在が報告されています。
・【危険度:高】個人情報漏えいの脆弱性
「EC-CUBE 2.11.2以上」には、提供元より以下のセキュリティホールの存在が報告されています。
・【危険度:中】ファイルパス情報漏えいの脆弱性
「EC-CUBE 2.11.0以上」には、提供元より以下のセキュリティホールの存在が報告されています。
・【危険度:中】クロスサイトリクエストフォージェリーの脆弱性
・【危険度:中】クロスサイト・スクリプティングの脆弱性
・【危険度:低】クロスサイト・スクリプティングおよび、セッション情報漏えいの脆弱性
———————————————————————————————————————————————————————————————————-