EC-CUBE4.1系/4.2系におけるRCE可能な脆弱性(JVN#29195731)
更新履歴
- 2023/11/09 15:00
- 目次の追加
- 2023/11/07 14:00
- JVNからの公表内容情報へのリンクを追加
- 2023/10/26 13:00
- 初版公開
目次
EC-CUBEにおけるRCE可能な脆弱性
EC-CUBE 4.1系/4.2系におけるRCE可能な脆弱性(危険度: 低)があることが判明いたしました。
脆弱性そのものは、修正の反映によりすぐに解決するものです。
以下のいずれかの方法により、ご対応をお願いいたします。
- 修正ファイルを適用する
- 修正差分を確認して適用する
皆様にはお手数おかけし誠に申し訳ございません。
本脆弱性における被害報告は現時点でございませんが、できるだけ速やかにご対応をお願いいたします。
脆弱性の概要
EC-CUBEにおけるRCE可能な脆弱性
危険度:
低
不具合が存在するEC-CUBEのバージョン:
- 4.1.0〜4.1.2-p2
- 4.2.0〜4.2.2
詳細:
該当バージョンのEC-CUBEにはRCE可能な脆弱性が存在します。EC-CUBEはテンプレートエンジンとしてTwigを利用していますが、EC-CUBEの一部画面でTwigに対する設定不備が存在し、攻撃者が対象のシステム上で任意のコードを実行できる可能性があります。
JVNからの公表内容 (2023/11/07公開)
JVN#29195731: EC-CUBE 3系および 4系において任意のコードを実行される脆弱性
- EC-CUBE 3系および 4系において任意のコードを実行される脆弱性 CVE-2023-46845
修正ファイル適用による注意点
以下の注意事項をご確認お願いいたします。
本修正ファイルを適用することにより、TwigのSandBox機能が有効になります。
Sandboxは指定されたTwigのタグ、関数、フィルターのみを許可します。
そのため、「商品情報>商品登録>フリーエリア」や「コンテンツ管理>ページ管理>metatag」で指定されたTwigのタグ、関数、フィルター以外を使用している場合、フロントでは、該当箇所の登録情報が表示されなくなります。
ただし、該当箇所以外の情報は通常通り表示されます。
この点をあらかじめご了承ください。
app/config/eccube/packages/twig_extensions.yamlで、利用しているTwigのタグ、関数、フィルターを登録することで、それらを利用可能にすることができます。
修正の際、eccube.twig_sandbox.allowed_*** の部分に必要な内容を追加してください。
以下のymlファイルを参考にしてください。
修正方法1: 修正ファイルを利用する場合
開発環境がある場合は、まず開発環境でお試しください。
以下の手順に従って、修正ファイルの反映をお願いいたします。
- 修正ファイルのダウンロード
ご利用中のEC-CUBEのバージョンに該当する修正ファイルをダウンロードしてください。
※EC-CUBEのバージョンはこちらの手順でご確認ください。
※修正ファイルは各バージョンの最新版に対して作成しています。旧バージョンをご利用の場合は、「修正方法2」のご対応をお願いします。
※対象のファイルに対して既にカスタマイズをしている場合は、「修正方法2」のご対応をお願いします。- 修正ファイル(4.1.2-p2) (SHA256:04cce51ed2da16412af6fa04cfa317c1449b9428ad0698b9076e634d203b32f0)
- 修正ファイル(4.2.2) (SHA256:01950c55ebea467d96415dfab24260ab032d991db2c04107f719b3526c553c07)
ダウンロードし、解凍していただきますと、以下の修正ファイルがあります。必ず該当するバージョンのファイルをご利用ください。
4.1.2-p2
- app/config/eccube/packages/twig_extensions.yaml
- src/Eccube/Resource/template/default/Product/detail.twig
- src/Eccube/Resource/template/default/default_frame.twig
- src/Eccube/Twig/Extension/IgnoreTwigSandboxErrorExtension.php
- src/Eccube/Twig/Sandbox/SecurityPolicyDecorator.php
4.2.2
- app/config/eccube/packages/twig_extensions.yaml
- src/Eccube/Resource/template/default/Product/detail.twig
- src/Eccube/Resource/template/default/default_frame.twig
- src/Eccube/Twig/Extension/IgnoreTwigSandboxErrorExtension.php
- src/Eccube/Twig/Sandbox/SecurityPolicyDecorator.php
- EC-CUBEファイルのバックアップ
あらかじめEC-CUBEファイル全体のバックアップを行ってください。
- 修正ファイルの反映
以下のファイルを上書き更新してください。
上書きするファイル
4.1.2-p2
- app/config/eccube/packages/twig_extensions.yaml
- src/Eccube/Resource/template/default/Product/detail.twig
- src/Eccube/Resource/template/default/default_frame.twig
- src/Eccube/Twig/Extension/IgnoreTwigSandboxErrorExtension.php
- src/Eccube/Twig/Sandbox/SecurityPolicyDecorator.php
下記にファイルが存在する場合は同様に上書きをお願いします
- app/template/default/Product/detail.twig
- app/template/default/default_frame.twig
4.2.2
- app/config/eccube/packages/twig_extensions.yaml
- src/Eccube/Resource/template/default/Product/detail.twig
- src/Eccube/Resource/template/default/default_frame.twig
- src/Eccube/Twig/Extension/IgnoreTwigSandboxErrorExtension.php
- src/Eccube/Twig/Sandbox/SecurityPolicyDecorator.php
下記にファイルが存在する場合は同様に上書きをお願いします
- app/template/default/Product/detail.twig
- app/template/default/default_frame.twig
また、snippet.twigに関してはプラグインで拡張する箇所となるため対応不要となります。
※デザインテンプレートの適用や、EC-CUBE本体のカスタマイズをしている場合、修正箇所の差分をご確認のうえ反映をお願いします。
※開発環境がある場合は、開発環境での反映・動作確認を行った後に、本番環境への反映をおすすめします。 - キャッシュの削除
EC-CUBE のキャッシュの削除が必要です。
EC-CUBE の管理画面にログインいただき、コンテンツ管理 -> キャッシュ管理 のページからキャッシュの削除をお願いいたします。 - 動作確認
フロント画面と管理画面(ログインが必要)それぞれにおいて、基本操作が正常に行えることをご確認ください。
修正方法2-1: 修正差分を確認して適宜反映する場合(4.1系)
以下のコード差分情報を参照して頂き、必要な箇所に修正を反映してください。
本修正方法はEC-CUBE 4.1.2-p2のバージョンを例として提示しております。
過去バージョンをご利用の場合は、下記修正対象ファイルの修正差分を参考にご対応お願いいたします。
修正差分
- app/config/eccube/packages/twig_extensions.yaml +148 -0
- src/Eccube/Resource/template/default/Product/detail.twig +1 -1
- src/Eccube/Resource/template/default/default_frame.twig +1 -4
- src/Eccube/Twig/Extension/IgnoreTwigSandboxErrorExtension.php +78 -0
- src/Eccube/Twig/Sandbox/SecurityPolicyDecorator.php +47 -0
@@ -8,3 +8,151 @@ services:
|
|
8
8
|
#Twig\Extensions\DateExtension: ~
|
9
9
|
Twig\Extensions\IntlExtension: ~
|
10
10
|
#Twig\Extensions\TextExtension: ~
|
11
|
+
eccube.twig_sandbox.policy:
|
12
|
+
class: Twig\Sandbox\SecurityPolicy
|
13
|
+
arguments:
|
14
|
+
$allowedTags: "%eccube.twig_sandbox.allowed_tags%"
|
15
|
+
$allowedFilters: "%eccube.twig_sandbox.allowed_filters%"
|
16
|
+
$allowedFunctions: "%eccube.twig_sandbox.allowed_functions%"
|
17
|
+
$allowedMethods: "%eccube.twig_sandbox.allowed_methods%"
|
18
|
+
$allowedProperties: "%eccube.twig_sandbox.allowed_properties%"
|
19
|
+
eccube.twig_sandbox.extension:
|
20
|
+
class: Twig\Extension\SandboxExtension
|
21
|
+
arguments:
|
22
|
+
- '@eccube.twig_sandbox.policy'
|
23
|
+
- false
|
24
|
+
tags: ['twig.extension']
|
25
|
+
Eccube\Twig\Sandbox\SecurityPolicyDecorator:
|
26
|
+
decorates: 'eccube.twig_sandbox.policy'
|
27
|
+
parameters:
|
28
|
+
eccube.twig_sandbox.allowed_tags:
|
29
|
+
- 'apply'
|
30
|
+
- 'block'
|
31
|
+
- 'deprecated'
|
32
|
+
- 'embed'
|
33
|
+
- 'extends'
|
34
|
+
- 'flush'
|
35
|
+
- 'for'
|
36
|
+
- 'if'
|
37
|
+
- 'set'
|
38
|
+
- 'spaceless'
|
39
|
+
- 'verbatim'
|
40
|
+
- 'with'
|
41
|
+
- 'form_theme'
|
42
|
+
- 'stopwatch'
|
43
|
+
- 'trans'
|
44
|
+
- 'trans_default_domain'
|
45
|
+
eccube.twig_sandbox.allowed_filters:
|
46
|
+
- 'abs'
|
47
|
+
- 'batch'
|
48
|
+
- 'capitalize'
|
49
|
+
- 'column'
|
50
|
+
- 'convert_encoding'
|
51
|
+
- 'date'
|
52
|
+
- 'date_modify'
|
53
|
+
- 'default'
|
54
|
+
- 'escape'
|
55
|
+
- 'first'
|
56
|
+
- 'format'
|
57
|
+
- 'join'
|
58
|
+
- 'json_encode'
|
59
|
+
- 'keys'
|
60
|
+
- 'last'
|
61
|
+
- 'length'
|
62
|
+
- 'lower'
|
63
|
+
- 'merge'
|
64
|
+
- 'nl2br'
|
65
|
+
- 'number_format'
|
66
|
+
- 'replace'
|
67
|
+
- 'reverse'
|
68
|
+
- 'round'
|
69
|
+
- 'slice'
|
70
|
+
- 'spaceless'
|
71
|
+
- 'split'
|
72
|
+
- 'striptags'
|
73
|
+
- 'title'
|
74
|
+
- 'trim'
|
75
|
+
- 'upper'
|
76
|
+
- 'url_encode'
|
77
|
+
- 'abbr_class'
|
78
|
+
- 'abbr_method'
|
79
|
+
- 'file_link'
|
80
|
+
- 'file_relative'
|
81
|
+
- 'format_args'
|
82
|
+
- 'format_args_as_text'
|
83
|
+
- 'humanize'
|
84
|
+
- 'trans'
|
85
|
+
- 'yaml_dump'
|
86
|
+
- 'yaml_encode'
|
87
|
+
- 'date_day'
|
88
|
+
- 'date_day_with_weekday'
|
89
|
+
- 'date_format'
|
90
|
+
- 'date_min'
|
91
|
+
- 'date_sec'
|
92
|
+
- 'doctrine_pretty_query'
|
93
|
+
- 'doctrine_replace_query_parameters'
|
94
|
+
- 'e'
|
95
|
+
- 'ellipsis'
|
96
|
+
- 'file_ext_icon'
|
97
|
+
- 'form_encode_currency'
|
98
|
+
- 'format_log_message'
|
99
|
+
- 'no_image_product'
|
100
|
+
- 'price'
|
101
|
+
- 'purify'
|
102
|
+
- 'time_ago'
|
103
|
+
- 'doctrine_minify_query'
|
104
|
+
- 'localizedcurrency'
|
105
|
+
- 'localizeddate'
|
106
|
+
- 'localizednumber'
|
107
|
+
- 'transchoice'
|
108
|
+
eccube.twig_sandbox.allowed_functions:
|
109
|
+
- 'cycle'
|
110
|
+
- 'date'
|
111
|
+
- 'max'
|
112
|
+
- 'min'
|
113
|
+
- 'random'
|
114
|
+
- 'range'
|
115
|
+
- 'absolute_url'
|
116
|
+
- 'asset'
|
117
|
+
- 'asset_version'
|
118
|
+
- 'csrf_token'
|
119
|
+
- 'form_parent'
|
120
|
+
- 'is_granted'
|
121
|
+
- 'logout_path'
|
122
|
+
- 'logout_url'
|
123
|
+
- 'path'
|
124
|
+
- 'relative_path'
|
125
|
+
- 'url'
|
126
|
+
- 'active_menus'
|
127
|
+
- 'class_categories_as_json'
|
128
|
+
- 'csrf_token_for_anchor'
|
129
|
+
- 'currency_symbol'
|
130
|
+
- 'get_all_carts'
|
131
|
+
- 'get_cart'
|
132
|
+
- 'get_carts_total_price'
|
133
|
+
- 'get_carts_total_quantity'
|
134
|
+
- 'has_errors'
|
135
|
+
- 'is_reduced_tax_rate'
|
136
|
+
- 'product'
|
137
|
+
- 'workflow_can'
|
138
|
+
- 'workflow_has_marked_place'
|
139
|
+
- 'workflow_marked_places'
|
140
|
+
- 'workflow_metadata'
|
141
|
+
- 'workflow_transition_blockers'
|
142
|
+
- 'workflow_transitions'
|
143
|
+
- 'device_version'
|
144
|
+
- 'full_view_url'
|
145
|
+
- 'is_android_os'
|
146
|
+
- 'is_device'
|
147
|
+
- 'is_full_view'
|
148
|
+
- 'is_ios'
|
149
|
+
- 'is_mobile'
|
150
|
+
- 'is_mobile_view'
|
151
|
+
- 'is_not_mobile_view'
|
152
|
+
- 'is_tablet'
|
153
|
+
- 'is_tablet_view'
|
154
|
+
- 'php_*'
|
155
|
+
eccube.twig_sandbox.allowed_methods:
|
156
|
+
'Symfony\Bridge\Twig\AppVariable': [ 'getrequest' ]
|
157
|
+
'Symfony\Component\HttpFoundation\Request': [ 'geturi' ]
|
158
|
+
eccube.twig_sandbox.allowed_properties: []
|
@@ -405,7 +405,7 @@ file that was distributed with this source code.
|
|
405
405
|
</div>
|
406
406
|
{% if Product.freearea %}
|
407
407
|
<div class="ec-productRole__description">
|
408
|
-
{{ include(template_from_string(Product.freearea)) }}
|
408
|
+
{{ include(template_from_string(Product.freearea), sandboxed = true) }}
|
409
409
|
</div>
|
410
410
|
{% endif %}
|
411
411
|
</div>
|
@@ -16,7 +16,7 @@ file that was distributed with this source code.
|
|
16
16
|
<meta name="eccube-csrf-token" content="{{ csrf_token(constant('Eccube\\Common\\Constant::TOKEN_NAME')) }}">
|
17
17
|
<title>{{ BaseInfo.shop_name }}{% if subtitle is defined and subtitle is not empty %} / {{ subtitle }}{% elseif title is defined and title is not empty %} / {{ title }}{% endif %}</title>
|
18
18
|
{% if Page.meta_tags is not empty %}
|
19
|
-
{{ include(template_from_string(Page.meta_tags)) }}
|
19
|
+
{{ include(template_from_string(Page.meta_tags), sandboxed = true) }}
|
20
20
|
{% if Page.description is not empty %}
|
21
21
|
<meta name="description" content="{{ Page.description }}">
|
22
22
|
{% endif %}
|
@@ -32,9 +32,6 @@ file that was distributed with this source code.
|
|
32
32
|
{% if Page.meta_robots is not empty %}
|
33
33
|
<meta name="robots" content="{{ Page.meta_robots }}">
|
34
34
|
{% endif %}
|
35
|
-
{% if Page.meta_tags is not empty %}
|
36
|
-
{{ include(template_from_string(Page.meta_tags)) }}
|
37
|
-
{% endif %}
|
38
35
|
<link rel="icon" href="{{ asset('assets/img/common/favicon.ico', 'user_data') }}">
|
39
36
|
<link rel="stylesheet" href="https://stackpath.bootstrapcdn.com/bootstrap/3.4.1/css/bootstrap.min.css" integrity="sha384-HSMxcRTRxnN+Bdg0JdbxYKrThecOKuH5zCYotlSAcp1+c8xmyTe9GYg1l9a69psu" crossorigin="anonymous">
|
40
37
|
<link rel="stylesheet" href="https://use.fontawesome.com/releases/v5.3.1/css/all.css" integrity="sha384-mzrmE5qonljUremFsqc01SB46JvROS7bZs3IO2EmfFsd15uHvIt+Y8vEf7N7fWAU" crossorigin="anonymous">
|
@@ -0,0 +1,78 @@
|
|
1
|
+
<?php
|
2
|
+
|
3
|
+
/*
|
4
|
+
* This file is part of EC-CUBE
|
5
|
+
*
|
6
|
+
* Copyright(c) EC-CUBE CO.,LTD. All Rights Reserved.
|
7
|
+
*
|
8
|
+
* http://www.ec-cube.co.jp/
|
9
|
+
*
|
10
|
+
* For the full copyright and license information, please view the LICENSE
|
11
|
+
* file that was distributed with this source code.
|
12
|
+
*/
|
13
|
+
|
14
|
+
namespace Eccube\Twig\Extension;
|
15
|
+
|
16
|
+
use Twig\Environment;
|
17
|
+
use Twig\Error\LoaderError;
|
18
|
+
use Twig\Extension\AbstractExtension;
|
19
|
+
use Twig\Extension\SandboxExtension;
|
20
|
+
use Twig\Sandbox\SecurityError;
|
21
|
+
use Twig\TwigFunction;
|
22
|
+
|
23
|
+
/**
|
24
|
+
* \vendor\twig\twig\src\Extension\CoreExtension の拡張
|
25
|
+
*/
|
26
|
+
class IgnoreTwigSandboxErrorExtension extends AbstractExtension
|
27
|
+
{
|
28
|
+
/**
|
29
|
+
* {@inheritdoc}
|
30
|
+
*/
|
31
|
+
public function getFunctions(): array
|
32
|
+
{
|
33
|
+
return [
|
34
|
+
new TwigFunction('include', [$this, 'twig_include'], ['needs_environment' => true, 'needs_context' => true, 'is_safe' => ['all']]),
|
35
|
+
];
|
36
|
+
}
|
37
|
+
|
38
|
+
/**
|
39
|
+
* twig sandboxの例外を操作します
|
40
|
+
* app_env = devの場合、エラーを表示する
|
41
|
+
* app_env = prodの場合、エラーを表示しない
|
42
|
+
*
|
43
|
+
* @param Environment $env
|
44
|
+
* @param $context
|
45
|
+
* @param $template
|
46
|
+
* @param $variables
|
47
|
+
* @param $withContext
|
48
|
+
* @param $ignoreMissing
|
49
|
+
* @param $sandboxed
|
50
|
+
*
|
51
|
+
* @return string|void
|
52
|
+
*
|
53
|
+
* @throws LoaderError
|
54
|
+
* @throws SecurityError
|
55
|
+
*/
|
56
|
+
public function twig_include(Environment $env, $context, $template, $variables = [], $withContext = true, $ignoreMissing = false, $sandboxed = false)
|
57
|
+
{
|
58
|
+
try {
|
59
|
+
return \twig_include($env, $context, $template, $variables, $withContext, $ignoreMissing, $sandboxed);
|
60
|
+
} catch (SecurityError $e) {
|
61
|
+
|
62
|
+
// devではエラー画面が表示されるようにする
|
63
|
+
$appEnv = env('APP_ENV');
|
64
|
+
if ($appEnv === 'dev') {
|
65
|
+
throw $e;
|
66
|
+
} else {
|
67
|
+
// ログ出力
|
68
|
+
log_warning($e->getMessage(), ['exception' => $e]);
|
69
|
+
|
70
|
+
// 例外がスローされた場合、sandboxが効いた状態になってしまうため追加
|
71
|
+
$sandbox = $env->getExtension(SandboxExtension::class);
|
72
|
+
if (!$sandbox->isSandboxedGlobally()) {
|
73
|
+
$sandbox->disableSandbox();
|
74
|
+
}
|
75
|
+
}
|
76
|
+
}
|
77
|
+
}
|
78
|
+
}
|
@@ -0,0 +1,47 @@
|
|
1
|
+
<?php
|
2
|
+
|
3
|
+
/*
|
4
|
+
* This file is part of EC-CUBE
|
5
|
+
*
|
6
|
+
* Copyright(c) EC-CUBE CO.,LTD. All Rights Reserved.
|
7
|
+
*
|
8
|
+
* http://www.ec-cube.co.jp/
|
9
|
+
*
|
10
|
+
* For the full copyright and license information, please view the LICENSE
|
11
|
+
* file that was distributed with this source code.
|
12
|
+
*/
|
13
|
+
|
14
|
+
namespace Eccube\Twig\Sandbox;
|
15
|
+
|
16
|
+
use Twig\Sandbox\SecurityPolicy as BasePolicy;
|
17
|
+
use Twig\Sandbox\SecurityPolicyInterface;
|
18
|
+
|
19
|
+
class SecurityPolicyDecorator implements SecurityPolicyInterface {
|
20
|
+
|
21
|
+
/** @var BasePolicy */
|
22
|
+
private $securityPolicy;
|
23
|
+
|
24
|
+
public function __construct(BasePolicy $securityPolicy)
|
25
|
+
{
|
26
|
+
$this->securityPolicy = $securityPolicy;
|
27
|
+
}
|
28
|
+
|
29
|
+
public function checkSecurity($tags, $filters, $functions)
|
30
|
+
{
|
31
|
+
$this->securityPolicy->checkSecurity($tags, $filters, $functions);
|
32
|
+
}
|
33
|
+
|
34
|
+
public function checkMethodAllowed($obj, $method)
|
35
|
+
{
|
36
|
+
// __toStringの場合はチェックをスキップする
|
37
|
+
if ($method === '__toString') {
|
38
|
+
return;
|
39
|
+
}
|
40
|
+
$this->securityPolicy->checkMethodAllowed($obj, $method);
|
41
|
+
}
|
42
|
+
|
43
|
+
public function checkPropertyAllowed($obj, $method)
|
44
|
+
{
|
45
|
+
$this->securityPolicy->checkPropertyAllowed($obj, $method);
|
46
|
+
}
|
47
|
+
}
|
修正方法2-2: 修正差分を確認して適宜反映する場合(4.2系)
以下のコード差分情報を参照して頂き、必要な箇所に修正を反映してください。
本修正方法はEC-CUBE 4.2.2のバージョンを例として提示しております。
過去バージョンをご利用の場合は、下記修正対象ファイルの修正差分を参考にご対応お願いいたします。
修正差分
- app/config/eccube/packages/twig_extensions.yaml +163 -0
- src/Eccube/Resource/template/default/Product/detail.twig +1 -1
- src/Eccube/Resource/template/default/default_frame.twig +1 -1
- src/Eccube/Twig/Extension/IgnoreTwigSandboxErrorExtension.php +78 -0
- src/Eccube/Twig/Sandbox/SecurityPolicyDecorator.php +47 -0
@@ -8,3 +8,166 @@ services:
|
|
8
8
|
#Twig\Extensions\DateExtension: ~
|
9
9
|
# Twig\Extensions\IntlExtension: ~
|
10
10
|
#Twig\Extensions\TextExtension: ~
|
11
|
+
|
12
|
+
eccube.twig_sandbox.policy:
|
13
|
+
class: Twig\Sandbox\SecurityPolicy
|
14
|
+
arguments:
|
15
|
+
$allowedTags: "%eccube.twig_sandbox.allowed_tags%"
|
16
|
+
$allowedFilters: "%eccube.twig_sandbox.allowed_filters%"
|
17
|
+
$allowedFunctions: "%eccube.twig_sandbox.allowed_functions%"
|
18
|
+
$allowedMethods: "%eccube.twig_sandbox.allowed_methods%"
|
19
|
+
$allowedProperties: "%eccube.twig_sandbox.allowed_properties%"
|
20
|
+
eccube.twig_sandbox.extension:
|
21
|
+
class: Twig\Extension\SandboxExtension
|
22
|
+
arguments:
|
23
|
+
- '@eccube.twig_sandbox.policy'
|
24
|
+
- false
|
25
|
+
tags: ['twig.extension']
|
26
|
+
Eccube\Twig\Sandbox\SecurityPolicyDecorator:
|
27
|
+
decorates: 'eccube.twig_sandbox.policy'
|
28
|
+
parameters:
|
29
|
+
eccube.twig_sandbox.allowed_tags:
|
30
|
+
- 'apply'
|
31
|
+
- 'block'
|
32
|
+
- 'deprecated'
|
33
|
+
- 'embed'
|
34
|
+
- 'extends'
|
35
|
+
- 'flush'
|
36
|
+
- 'for'
|
37
|
+
- 'if'
|
38
|
+
- 'set'
|
39
|
+
- 'spaceless'
|
40
|
+
- 'verbatim'
|
41
|
+
- 'with'
|
42
|
+
- 'form_theme'
|
43
|
+
- 'stopwatch'
|
44
|
+
- 'trans'
|
45
|
+
- 'trans_default_domain'
|
46
|
+
eccube.twig_sandbox.allowed_filters:
|
47
|
+
- 'abs'
|
48
|
+
- 'batch'
|
49
|
+
- 'capitalize'
|
50
|
+
- 'column'
|
51
|
+
- 'convert_encoding'
|
52
|
+
- 'country_name'
|
53
|
+
- 'currency_name'
|
54
|
+
- 'currency_symbol'
|
55
|
+
- 'date'
|
56
|
+
- 'date_modify'
|
57
|
+
- 'default'
|
58
|
+
- 'escape'
|
59
|
+
- 'first'
|
60
|
+
- 'format'
|
61
|
+
- 'format_currency'
|
62
|
+
- 'format_date'
|
63
|
+
- 'format_datetime'
|
64
|
+
- 'format_number'
|
65
|
+
- 'format_time'
|
66
|
+
- 'join'
|
67
|
+
- 'json_encode'
|
68
|
+
- 'keys'
|
69
|
+
- 'language_name'
|
70
|
+
- 'last'
|
71
|
+
- 'length'
|
72
|
+
- 'locale_name'
|
73
|
+
- 'lower'
|
74
|
+
- 'merge'
|
75
|
+
- 'nl2br'
|
76
|
+
- 'number_format'
|
77
|
+
- 'replace'
|
78
|
+
- 'reverse'
|
79
|
+
- 'round'
|
80
|
+
- 'slice'
|
81
|
+
- 'spaceless'
|
82
|
+
- 'split'
|
83
|
+
- 'striptags'
|
84
|
+
- 'timezone_name'
|
85
|
+
- 'title'
|
86
|
+
- 'trim'
|
87
|
+
- 'upper'
|
88
|
+
- 'url_encode'
|
89
|
+
- 'abbr_class'
|
90
|
+
- 'abbr_method'
|
91
|
+
- 'file_link'
|
92
|
+
- 'file_relative'
|
93
|
+
- 'format_args'
|
94
|
+
- 'format_args_as_text'
|
95
|
+
- 'humanize'
|
96
|
+
- 'serialize'
|
97
|
+
- 'trans'
|
98
|
+
- 'yaml_dump'
|
99
|
+
- 'yaml_encode'
|
100
|
+
- 'currency_symbol'
|
101
|
+
- 'date_day'
|
102
|
+
- 'date_day_with_weekday'
|
103
|
+
- 'date_format'
|
104
|
+
- 'date_min'
|
105
|
+
- 'date_sec'
|
106
|
+
- 'doctrine_format_sql'
|
107
|
+
- 'doctrine_prettify_sql'
|
108
|
+
- 'doctrine_pretty_query'
|
109
|
+
- 'doctrine_replace_query_parameters'
|
110
|
+
- 'e'
|
111
|
+
- 'ellipsis'
|
112
|
+
- 'file_ext_icon'
|
113
|
+
- 'form_encode_currency'
|
114
|
+
- 'format_*_number'
|
115
|
+
- 'format_log_message'
|
116
|
+
- 'no_image_product'
|
117
|
+
- 'price'
|
118
|
+
- 'purify'
|
119
|
+
- 'time_ago'
|
120
|
+
eccube.twig_sandbox.allowed_functions:
|
121
|
+
- 'cycle'
|
122
|
+
- 'date'
|
123
|
+
- 'max'
|
124
|
+
- 'min'
|
125
|
+
- 'random'
|
126
|
+
- 'range'
|
127
|
+
- 'country_timezones'
|
128
|
+
- 'absolute_url'
|
129
|
+
- 'asset'
|
130
|
+
- 'asset_version'
|
131
|
+
- 'csrf_token'
|
132
|
+
- 'form_parent'
|
133
|
+
- 'fragment_uri'
|
134
|
+
- 'impersonation_exit_path'
|
135
|
+
- 'impersonation_exit_url'
|
136
|
+
- 'is_granted'
|
137
|
+
- 'logout_path'
|
138
|
+
- 'logout_url'
|
139
|
+
- 'path'
|
140
|
+
- 'relative_path'
|
141
|
+
- 't'
|
142
|
+
- 'url'
|
143
|
+
- 'active_menus'
|
144
|
+
- 'class_categories_as_json'
|
145
|
+
- 'country_names'
|
146
|
+
- 'csrf_token_for_anchor'
|
147
|
+
- 'currency_names'
|
148
|
+
- 'currency_symbol'
|
149
|
+
- 'field_choices'
|
150
|
+
- 'field_errors'
|
151
|
+
- 'field_help'
|
152
|
+
- 'field_label'
|
153
|
+
- 'field_name'
|
154
|
+
- 'field_value'
|
155
|
+
- 'get_all_carts'
|
156
|
+
- 'get_cart'
|
157
|
+
- 'get_carts_total_price'
|
158
|
+
- 'get_carts_total_quantity'
|
159
|
+
- 'has_errors'
|
160
|
+
- 'is_reduced_tax_rate'
|
161
|
+
- 'language_names'
|
162
|
+
- 'product'
|
163
|
+
- 'workflow_can'
|
164
|
+
- 'workflow_has_marked_place'
|
165
|
+
- 'workflow_marked_places'
|
166
|
+
- 'workflow_metadata'
|
167
|
+
- 'workflow_transition'
|
168
|
+
- 'workflow_transition_blockers'
|
169
|
+
- 'workflow_transitions'
|
170
|
+
eccube.twig_sandbox.allowed_methods:
|
171
|
+
'Symfony\Bridge\Twig\AppVariable': [ 'getrequest' ]
|
172
|
+
'Symfony\Component\HttpFoundation\Request': [ 'geturi' ]
|
173
|
+
eccube.twig_sandbox.allowed_properties: []
|
@@ -439,7 +439,7 @@ file that was distributed with this source code.
|
|
439
439
|
</div>
|
440
440
|
{% if Product.freearea %}
|
441
441
|
<div class="ec-productRole__description">
|
442
|
-
{{ include(template_from_string(Product.freearea)) }}
|
442
|
+
{{ include(template_from_string(Product.freearea), sandboxed = true) }}
|
443
443
|
</div>
|
444
444
|
{% endif %}
|
445
445
|
</div>
|
@@ -16,7 +16,7 @@ file that was distributed with this source code.
|
|
16
16
|
<meta name="eccube-csrf-token" content="{{ csrf_token(constant('Eccube\\Common\\Constant::TOKEN_NAME')) }}">
|
17
17
|
<title>{{ BaseInfo.shop_name }}{% if subtitle is defined and subtitle is not empty %} / {{ subtitle }}{% elseif title is defined and title is not empty %} / {{ title }}{% endif %}</title>
|
18
18
|
{% if Page.meta_tags is not empty %}
|
19
|
-
{{ include(template_from_string(Page.meta_tags)) }}
|
19
|
+
{{ include(template_from_string(Page.meta_tags), sandboxed = true) }}
|
20
20
|
{% if Page.description is not empty %}
|
21
21
|
<meta name="description" content="{{ Page.description }}">
|
22
22
|
{% endif %}
|
@@ -0,0 +1,78 @@
|
|
1
|
+
<?php
|
2
|
+
|
3
|
+
/*
|
4
|
+
* This file is part of EC-CUBE
|
5
|
+
*
|
6
|
+
* Copyright(c) EC-CUBE CO.,LTD. All Rights Reserved.
|
7
|
+
*
|
8
|
+
* http://www.ec-cube.co.jp/
|
9
|
+
*
|
10
|
+
* For the full copyright and license information, please view the LICENSE
|
11
|
+
* file that was distributed with this source code.
|
12
|
+
*/
|
13
|
+
|
14
|
+
namespace Eccube\Twig\Extension;
|
15
|
+
|
16
|
+
use Twig\Environment;
|
17
|
+
use Twig\Error\LoaderError;
|
18
|
+
use Twig\Extension\AbstractExtension;
|
19
|
+
use Twig\Extension\SandboxExtension;
|
20
|
+
use Twig\Sandbox\SecurityError;
|
21
|
+
use Twig\TwigFunction;
|
22
|
+
|
23
|
+
/**
|
24
|
+
* \vendor\twig\twig\src\Extension\CoreExtension の拡張
|
25
|
+
*/
|
26
|
+
class IgnoreTwigSandboxErrorExtension extends AbstractExtension
|
27
|
+
{
|
28
|
+
/**
|
29
|
+
* {@inheritdoc}
|
30
|
+
*/
|
31
|
+
public function getFunctions(): array
|
32
|
+
{
|
33
|
+
return [
|
34
|
+
new TwigFunction('include', [$this, 'twig_include'], ['needs_environment' => true, 'needs_context' => true, 'is_safe' => ['all']]),
|
35
|
+
];
|
36
|
+
}
|
37
|
+
|
38
|
+
/**
|
39
|
+
* twig sandboxの例外を操作します
|
40
|
+
* app_env = devの場合、エラーを表示する
|
41
|
+
* app_env = prodの場合、エラーを表示しない
|
42
|
+
*
|
43
|
+
* @param Environment $env
|
44
|
+
* @param $context
|
45
|
+
* @param $template
|
46
|
+
* @param $variables
|
47
|
+
* @param $withContext
|
48
|
+
* @param $ignoreMissing
|
49
|
+
* @param $sandboxed
|
50
|
+
*
|
51
|
+
* @return string|void
|
52
|
+
*
|
53
|
+
* @throws LoaderError
|
54
|
+
* @throws SecurityError
|
55
|
+
*/
|
56
|
+
public function twig_include(Environment $env, $context, $template, $variables = [], $withContext = true, $ignoreMissing = false, $sandboxed = false)
|
57
|
+
{
|
58
|
+
try {
|
59
|
+
return \twig_include($env, $context, $template, $variables, $withContext, $ignoreMissing, $sandboxed);
|
60
|
+
} catch (SecurityError $e) {
|
61
|
+
|
62
|
+
// devではエラー画面が表示されるようにする
|
63
|
+
$appEnv = env('APP_ENV');
|
64
|
+
if ($appEnv === 'dev') {
|
65
|
+
throw $e;
|
66
|
+
} else {
|
67
|
+
// ログ出力
|
68
|
+
log_warning($e->getMessage(), ['exception' => $e]);
|
69
|
+
|
70
|
+
// 例外がスローされた場合、sandboxが効いた状態になってしまうため追加
|
71
|
+
$sandbox = $env->getExtension(SandboxExtension::class);
|
72
|
+
if (!$sandbox->isSandboxedGlobally()) {
|
73
|
+
$sandbox->disableSandbox();
|
74
|
+
}
|
75
|
+
}
|
76
|
+
}
|
77
|
+
}
|
78
|
+
}
|
@@ -0,0 +1,47 @@
|
|
1
|
+
<?php
|
2
|
+
|
3
|
+
/*
|
4
|
+
* This file is part of EC-CUBE
|
5
|
+
*
|
6
|
+
* Copyright(c) EC-CUBE CO.,LTD. All Rights Reserved.
|
7
|
+
*
|
8
|
+
* http://www.ec-cube.co.jp/
|
9
|
+
*
|
10
|
+
* For the full copyright and license information, please view the LICENSE
|
11
|
+
* file that was distributed with this source code.
|
12
|
+
*/
|
13
|
+
|
14
|
+
namespace Eccube\Twig\Sandbox;
|
15
|
+
|
16
|
+
use Twig\Sandbox\SecurityPolicy as BasePolicy;
|
17
|
+
use Twig\Sandbox\SecurityPolicyInterface;
|
18
|
+
|
19
|
+
class SecurityPolicyDecorator implements SecurityPolicyInterface {
|
20
|
+
|
21
|
+
/** @var BasePolicy */
|
22
|
+
private $securityPolicy;
|
23
|
+
|
24
|
+
public function __construct(BasePolicy $securityPolicy)
|
25
|
+
{
|
26
|
+
$this->securityPolicy = $securityPolicy;
|
27
|
+
}
|
28
|
+
|
29
|
+
public function checkSecurity($tags, $filters, $functions)
|
30
|
+
{
|
31
|
+
$this->securityPolicy->checkSecurity($tags, $filters, $functions);
|
32
|
+
}
|
33
|
+
|
34
|
+
public function checkMethodAllowed($obj, $method)
|
35
|
+
{
|
36
|
+
// __toStringの場合はチェックをスキップする
|
37
|
+
if ($method === '__toString') {
|
38
|
+
return;
|
39
|
+
}
|
40
|
+
$this->securityPolicy->checkMethodAllowed($obj, $method);
|
41
|
+
}
|
42
|
+
|
43
|
+
public function checkPropertyAllowed($obj, $method)
|
44
|
+
{
|
45
|
+
$this->securityPolicy->checkPropertyAllowed($obj, $method);
|
46
|
+
}
|
47
|
+
}
|
問い合わせ先
本脆弱性に関するお問合せ:
EC-CUBE 運営チーム
MAIL: [email protected]
謝辞
本脆弱性は、
- 株式会社エヌ・エフ・ラボラトリーズ 三浦 剛様
よりご報告いただきました。
この場をお借りして、厚く御礼申し上げます。