2018年7月10日に公表された脆弱性への対応方法

CS-Cart日本語版のバージョンv3系、4系(v2系は除く)において、脆弱性が判明しました。
脆弱性の詳細はセキュリティの観点から現時点では公開されておりませんが、この修正を必ず適用してください。 本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。


脆弱性のあるCS-Cartのバージョン

  • CS-Cart日本語版 - スタンダード版 v4.7.2-jp-1 およびそれ以前のバージョン(v2系は除く)
  • CS-Cart日本語版 - マーケットプレイス版 v4.7.2-jp-1 およびそれ以前のバージョン(v2系は除く)

※ 2018年7月10日10時時点におけるCS-Cart v4系すべてのバージョンが対象となります
※ 2018年7月10日10時以降にcs-cart.jpからダウンロードしたCS-Cartは対策済みです。

サーバープランのお客様は対応済み

CS-Cartサーバープランをご利用のお客様については、すでにセキュリティアドオンを適用済みのため、下記の作業は不要です。
【注意】サーバー上にテスト環境または複数のCS-Cartをインストールしている場合は、メインのサイト以外は対策が施されていません。お手数ですがご自身にて対策を実施願います。

脆弱性の内容と攻撃が成功するための条件

セキュリティの観点から現時点では公開されておりません。

脆弱性修正アドオンのインストール(V4系向け)

 ----------------------------------------------------------------

1.CS-Cartがインストールされたフォルダにある「config.local.php」をローカルPCなどにダウンロードした上で、

// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0666);
define('DEFAULT_DIR_PERMISSIONS', 0777);

を下記に書き換えてサーバー上に上書きアップロードしてください。

// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0644);
define('DEFAULT_DIR_PERMISSIONS', 0755);

2.こちらよりセキュリティパッチのアドオンをダウンロードしてください。(解凍不要)
 ※このアドオンはv4.7.2-jp-1 およびそれ以前のバージョン(v3系、v2系は除く)向けです。
 ※アドオンに含まれているファイルは下記となります。

  • /app/addons/security_patch/addon.xml
  • /app/addons/security_patch/init.php
  • /app/addons/security_patch/controllers/common/orders.pre.php
  • /app/addons/security_patch/controllers/common/paypal_connector.pre.php

3. 管理画面のアドオン→アドンの管理にアクセスし、
 右上にある「+」ボタン(アドオンのアップロードとインストール)をクリックしてください。

4.「ローカル」ボタンをクリックして
 2でダウンロードしたアドオン(ZIPファイル)を選択して開いてください。

5.「アップロードおよびインストール」ボタンをクリックしてください。

6.「セキュリティパッチ for 4.0.1 - 4.7.2-jp-1 」アドオンが
 インストール済みアドオンにあるのを確認してください。
 ※2017年12月28日の脆弱性対応アドオンが既にインストールされている場合はアドオンが上書きされます。この場合、アドオンの名称は以前のまま「セキュリティパッチ for 4.0.1 - 4.3.10-jp-1 」ですが、内部のファイルが更新されます。

7.CS-Cartをインストールされたフォルダにある「config.local.php」をローカルPCなどにダウンロードした上で、

// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0644);
define('DEFAULT_DIR_PERMISSIONS', 0755);

を下記に書き換えてサーバー上に上書きアップロードしてください。
// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0666);
define('DEFAULT_DIR_PERMISSIONS', 0777);

 

脆弱性修正アドオンのインストール(V3系向け)

 ----------------------------------------------------------------

1. こちらよりセキュリティパッチのアドオンをダウンロードしてください。
 ※このアドオンはv3系(v4系、v2系は除く)向けです。

2. ダウンロードしたセキュリティパッチを解凍し、FTP等でサーバー上にアップロードしてください。
下記のファイルを作成する形になります。

  • /addons/security_patch/addon.xml
  • /addons/security_patch/init.php

3. 管理画面の一般設定→アドオンにアクセスし、
 「セキュリティパッチ for V3系」の右側にあるインストールをクリックしてください。
 

 

 ----------------------------------------------------------------

※ お使いのCS-Cartのバージョンの確認方法は、 こちら をご参照ください。

現時点での被害報告はありません

本脆弱性はCS-Cartの開発元であるcs-cart.comの社内セキュリティチームが発見したものです。
2018年7月10日10時時点では、本脆弱性を攻撃されたことによる被害報告はありません。


連絡先

本脆弱性に関するお問い合わせは、以下のURLよりお寄せください。
https://cscart.liveagent.jp/submit_ticket