株式会社ブレイドでも、EC-CUBEを使ったショッピングサイト(ECサイト)構築やカスタマイズなども手掛けています。 EC-CUBEですが、少し前になりますが10月1日付けでEC-CUBE「ECオープ...

produced by Blades co.,ltd.



Entry Detail

Rating ---

  • 1
  • 2
  • 3
  • 4
  • 1

EC-CUBE 情報

EC-CUBE2にSQLインジェクションによる脆弱性が存在?

株式会社ブレイドでも、EC-CUBEを使ったショッピングサイト(ECサイト)構築やカスタマイズなども手掛けています。
EC-CUBEですが、少し前になりますが10月1日付けでEC-CUBE「ECオープンソース」の公式サイトに
「脆弱性の公表に関する重要なお願い」というタイトルで、
EC-CUBE2のSQLインジェクション脆弱性についての記事が載っていました。

【補足】
※SQLインジェクション
ECサイト、ショッピングカート等のシステムが、本来想定されていないSQL文を実行させることにより
不正にデータベースシステムを操作する攻撃方法。

EC-CUBE2にSQLインジェクションによる脆弱性の記事

このページの情報によると、コミュニティ版も含む、EC-CUBE2.0.0-beta以降の
全てのバージョンに、SQLインジェクションによる脆弱性が存在する、というもの。
ちなみに1系のEC-CUBEは該当しないそうですよ('ー'

【対策方法】
EC-CUBEの公式サイトより対策済みの修正ファイルをダウンロード して
ダウンロードしたSC_Query.zipを解凍します。
EC-CUBE2をカスタマイズしないで使っている場合は、
解凍した「SC_Query.php」を、EC-CUBE2がUPされている場所にFTPでアクセス。
以下の場所にUPしてPHPファイルを上書きすればOK

data/class/SC_Query.php

SC_Query.phpをカスタマイズしている場合
・SC_Queryクラスのinsertメソッド内の下記箇所を削除

251?253行目(EC-CUBE RC1版の場合)
// 先頭に~があるとプレースホルダーしない。
} else if(ereg("^~", $val)) {
$strval .= ereg_replace("^~", "", $val);


・SC_Queryクラスのupdateメソッド内の下記箇所を削除

328?330行目(EC-CUBE RC1版の場合)
// 先頭に~があるとプレースホルダーしない。
} else if(ereg("^~", $val)) {
$strval .= ereg_replace("^~", "", $val).",";


■関連サイト
SQLインジェクション脆弱性について(2008年10月1日)
 (EC-CUBE公式サイトへ)


Comments(0)

お気軽にコメントまたは評価を投稿してください。

お名前とE-mailアドレスをご入力の上、コメント本文または評価を入力してください。※E-mailアドレスは掲載されません。

Trackbacks(0)

お気軽にトラックバックしてください。

Monthly Archives


Category Archives



About Blades LAB

知的好奇心探究サイト 先端研究ブレイドLAB

先端研究ブレイドLABは、株式会社ブレイドが自社で開発したサービス・製品について紹介するサイトです。社員が興味を持った技術を駆使してサービス・製品へと昇華し、広く世間に対して公表することで、技術ノウハウを共有することを目指します。

また、2009年度まで運営していたMT/CMSブログを統合し、WEBに関する最先端の技術トピックスも紹介しております。


Project Blog!

本記事の連載は終了いたしました。

プロジェクトブログ

Blades.co.,ltd. WEB CM

ムービーを再生する

株式会社ブレイド設立2周年を記念して制作したWEB限定CMです。Adobe After Effects CS3で制作しました。
※CM中の企業ロゴは旧ロゴです。

ムービーを再生する