ボクブロック株式会社からの情報

■概要
管理画面表示制御プラグイン (2.12系)のバージョン2.0以前、管理画面表示制御プラグイン (2.13系) のバージョン1.0以前に
SQLインジェクションの脆弱性が存在することが判明しました。
しかし、この脆弱性によって、データの改竄や漏洩が起こる危険性は御座いません。

この問題の影響を受けるEC-CUBEのバージョンを以下に示しますので、以下の修正プログラムを適用してください。

■該当製品の確認方法
影響を受ける製品は以下の製品です。
製品名称 EC-CUBE
該当バージョン

管理画面表示制御プラグイン (2.12系)は、2.12.0から2.12.6のバージョン
管理画面表示制御プラグイン (2.13系)は、2.13.0から2.13.2のバージョン

使用しているバージョン番号の確認方法は以下の通りです。
1, 管理画面を起動し、「システム設定」メニューから「システム情報」を選択する。
2. 現れたウィンドウの概要欄の「EC-CUBE」の横に記載されている値がバージョンになります。

■脆弱性の説明
管理画面表示制御プラグインは、権限更新の際、該当の権限を判別するためにURLパラメータを使い遷移先の画面に値を渡しています。
このURLパラメータに特定のSQLを実行できる脆弱性が存在します。

■脆弱性がもたらす脅威
この脆弱性では、一部の命令を実行するSQLを含めることができ、
それが実行されてしまいますが、データの改竄や、漏洩を起こすような
命令を実行することはできません。

■対策方法
管理画面表示制御プラグイン (2.12系)は、バージョン 2.0 以前の製品、
管理画面表示制御プラグイン (2.13系)は、バージョン 1.0 以前の製品を
利用されているお客様は、EC-CUBE管理画面より、プラグインのアップデートを行って下さい。

対象製品名称 管理画面表示制御プラグイン (2.12系)、管理画面表示制御プラグイン (2.13系)

本脆弱性情報に関しては、以下の URL にて対策を公開しています。
http://www.ec-cube.net/products/detail.php?product_id=781
http://www.ec-cube.net/products/detail.php?product_id=288

■更新履歴
2015.11.27 この脆弱性情報ページを公開しました。

■連絡先
脆弱性連絡窓口
電話 ：03-6261-4655 (平日 10:00 - 19:00)
メール：ec-cube@bokublock.jp