EC-CUBE®

脆弱性

EC-CUBE3.0系におけるsymfony/http-foundationの脆弱性

  • 情報公開日:2020年 01月 22日
  • 危険度:中
  • 対象:Ver 3.0.0〜3.0.17
EC-CUBE3.0系で利用している、symfony/http-foundationに脆弱性が報告されました。
(本脆弱性における被害報告は現時点でございません)

概要:Invalid HTTP method overrides allow possible XSS or other attacks in Symfony
URL:https://github.com/advisories/GHSA-x92h-wmg2-6hp7

脆弱性そのものは、EC-CUBEのバージョンアップ、またはライブラリのアップデートにより
すぐに解決するものです。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
更新履歴
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2020/01/22 17:00 初版公開
2020/01/23 17:00 修正方法3を追記
2020/01/27 09:40 動作確認:表示を確認するhttp-foundationのバージョンをv2.7.51に修正

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
脆弱性の概要 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

概要:Invalid HTTP method overrides allow possible XSS or other attacks in Symfony
URL:https://github.com/advisories/GHSA-x92h-wmg2-6hp7

危険度: 中
不具合が存在するEC-CUBEのバージョン: 3.0.0〜3.0.17

※EC-CUBE 3.0.3以前をご利用の方へ

EC-CUBE 3.0.3以前のEC-CUBEには、本件以外にも複数の脆弱性がございます。
EC-CUBEのバージョンを3.0.4以上にバージョンアップした上で、本件の修正を反映してください。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
修正方法1:EC-CUBEのバージョンアップを行う場合 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE 3.0.18以降の最新版にバージョンアップしていただくことで、本件の脆弱性は修正されます。

以下を参考に、EC-CUBEのバージョンアップをお願い致します。

https://doc.ec-cube.net/quickstart_update

過去のEC-CUBEは以下のURLよりダウンロードいただくことが可能です。
http://downloads.ec-cube.net/src/eccube-3.0.xx.zip

※xxの箇所を希望のバージョン番号に変更してアクセスしてください。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
修正方法2:composerコマンドにて、symfony/http-foundationをアップデート 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

※EC-CUBE3.0.8以下のバージョンをお使いの方は、以下の手順ではアップデートできません。
 EC-CUBE3.0.9以上へバージョンアップいただく必要があります。

以下のコマンドを実行し、symfony/http-foundationを新してください。

$ composer update symfony/http-foundation

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
修正方法3:symfony/http-foundationのファイルを上書き 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

※EC-CUBE3.0.8以下のバージョンをお使いの方は、以下の手順ではアップデートできません。
 EC-CUBE3.0.9以上へバージョンアップいただく必要があります。

vendor/symfony/http-foundation/Request.php を以下のURLからダウンロードします。
https://raw.githubusercontent.com/symfony/symfony/2.7/src/Symfony/Component/HttpFoundation/Request.php

[EC-CUBEの設置先]/vendor/symfony/http-foundation/Request.php に上書きをしてください。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
動作確認
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

フロント画面および管理画面にアクセスし、正常に表示されるかどうかを確認してください。

また、以下のコマンドを実行し、symfony/http-foundationが更新されていることを確認してください。
$ composer show | grep symfony/http-foundation

※以下のように表示されることを確認してください。
symfony/http-foundation v2.7.51 Symfony HttpFoundation Component

※修正方法3で対応した場合は、composerによる確認手順は不要です。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
問い合わせ先 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

EC-CUBE 運営チーム 足立
MAIL:[email protected]
  1. ホーム
  2. 脆弱性

EC-CUBE公式アドバイザー
ご相談窓口

  • 他社のASPやパッケージとの違いを知りたい
  • BtoCのサイトにBtoB機能を追加したい
  • 何から手をつければよいかわからない
  • オープンソースならではの注意事項を知りたい
  • 自社にマッチした制作会社を探したい
  • サイト制作だけでなく運営もサポートしてほしい

新規構築・リニューアル・取引先向けのWeb受発注システム(BtoB)や事業の拡大など、
今抱えている課題を解決する最適な業者探しを、アドバイザーがお手伝いします。