EC-CUBEに情報漏えいにつながる脆弱性、早急な対処を - ITmedia エンタープライズ(情報元のブックマーク数)
EC-CUBE 正式版に顧客情報が漏えいしてしまう脆弱性が存在とのこと。回避策とパッチが提供されているそうです。
脆弱性は「EC-CUBE 正式版」の2.4.0 RC1〜2.4.1と「同コミュニティ版」r18068以降のバージョンに存在する。システム内の顧客情報が一般ユーザーのブラウザ上で閲覧できてしまうもので、遠隔の第三者に顧客情報が漏えいする恐れがある。
EC-CUBEに情報漏えいにつながる脆弱性、早急な対処を - ITmedia エンタープライズ
ロックオンは、脆弱性に対処するログイン確認コードと修正ファイルを公開。ログイン確認コードを「/data/class/pages/admin/customer/LC_Page_Admin_Customer_SearchCustomer.php#process」ファイルの指定位置に挿入することで、脆弱性を解決できるとしている。
修正は、セッションを管理者Viewでしか開けないようにするだけらしい。
■56行目付近 ------------------------------------------------------------------- 変更前 ------------------------------------------------------------------- function process() { $objView = new SC_AdminView(); ------------------------------------------------------------------- ------------------------------------------------------------------- 変更後 ------------------------------------------------------------------- function process() { // 認証可否の判定 $objSess = new SC_Session(); SC_Utils_Ex::sfIsSuccess($objSess); $objView = new SC_AdminView(); -------------------------------------------------------------------