CS-Cart日本語版のバージョン4系(v4.0.2-jp-1 から 4.17.1-jp-1 まで)(v3系、v2系は除く)において、脆弱性が判明しました。
脆弱性の詳細はセキュリティの観点から現時点では公開されておりませんが、この修正を必ず適用してください。
本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。
脆弱性のあるCS-Cartのバージョン
- CS-Cart日本語版 -スタンダード版 v4.0.2-jp-1 から 4.17.1-jp-1 まで
(v3系、v2系は除く) - CS-Cart日本語版 - マーケットプレイス版 v4.3.4-jp-1 から 4.17.1-jp-1 まで
- CS-Cart日本語版 - モール版 バージョン4.13.2-jp-1 から 4.17.1-jp-1 まで
※ 2024年1月31日13時時点におけるCS-Cart v4系(4.0.2-jp-1 から 4.17.1-jp-1 まで)が対象となります
※ 2024年1月31日13時以降にcs-cart.jpからダウンロードしたCS-Cartは対策済みです。
サーバープランのお客様は対応済み
CS-Cartサーバープランをご利用のお客様については、すでにセキュリティアドオンを適用済みのため、下記の作業は不要です。
【注意】サーバー上にテスト環境または複数のCS-Cartをインストールしている場合は、メインのサイト以外は対策が施されていません。お手数ですがご自身にて対策を実施願います。
脆弱性の内容と攻撃が成功するための条件
セキュリティの観点から現時点では公開されておりません。
なお、本脆弱性はcs-cart.comのセキュリティチームが発見したものであり、現時点での被害報告はありません。
脆弱性修正アドオンのインストール
----------------------------------------------------------------
1.CS-Cartがインストールされたフォルダにある「config.local.php」をローカルPCなどにダウンロードした上で、
// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0666);
define('DEFAULT_DIR_PERMISSIONS', 0777);
を下記に書き換えてサーバー上に上書きアップロードしてください。
// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0644);
define('DEFAULT_DIR_PERMISSIONS', 0755);
2.こちらよりセキュリティパッチのアドオンをダウンロードしてください。(解凍不要)
※このアドオンはバージョン4系(4.0.2-jp-1 から 4.17.1-jp-1 まで)(v3系、v2系は除く)向けです。
3. 管理画面のアドオン→アドンの管理にアクセスし、
右上にある「+」ボタン(アドオンのアップロードとインストール)をクリックしてください。
※4.13.2-jp-1以降の場合は歯車メニューの「アドオンを手動でインストール」をクリック
4.「ローカル」ボタンをクリックして
2でダウンロードしたアドオン(ZIPファイル)を選択して開いてください。
5.「アップロードおよびインストール」ボタンをクリックしてください。
6.「Security Fixes (January 2024) for 4.0.1 - 4.17.2」アドオンが
インストール済みアドオンにあるのを確認してください。
7.CS-Cartをインストールされたフォルダにある「config.local.php」をローカルPCなどにダウンロードした上で、
// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0644);
define('DEFAULT_DIR_PERMISSIONS', 0755);
を下記に書き換えてサーバー上に上書きアップロードしてください。
// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0666);
define('DEFAULT_DIR_PERMISSIONS', 0777);
----------------------------------------------------------------
※ お使いのCS-Cartのバージョンの確認方法は、 こちら をご参照ください。
現時点での被害報告はありません
本脆弱性はCS-Cartの開発元であるcs-cart.comのパートナー企業が実施したセキュリティ監査で発見されたものです。
2024年1月31日13時時点では、本脆弱性を攻撃されたことによる被害報告はありません。
連絡先
本脆弱性に関するお問い合わせは、以下のURLよりお寄せください。
https://cscart.liveagent.jp/submit_ticket