2023年8月23日に公表された脆弱性への対応方法

カテゴリー : セキュリティ
2023年08月22日 (火)

CS-Cart日本語版 - マーケットプレイス版/モール版 のバージョン4系(v4.3.4-jp-1 から 4.15.2-jp-1 まで)(v3系、v2系は除く)において、脆弱性が判明しました。
脆弱性の詳細はセキュリティの観点から現時点では公開されておりませんが、この修正を必ず適用してください。
※CS-Cart スタンダード版においてパッチの適用は必須ではありませんが、安全のため適用されることを推奨いたします。
本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。


脆弱性のあるCS-Cartのバージョン

  • CS-Cart日本語版 - マーケットプレイス版 v4.3.4-jp-1 から 4.15.2-jp-1 まで
    (v3系、v2系は除く)
  • CS-Cart日本語版 - モール版 バージョン4.13.2-jp-1

※ 2023年8月23日10時時点におけるCS-Cart日本語版 - マーケットプレイス版/モール版 v4系(v4.3.4-jp-1 から 4.15.2-jp-1 まで)が対象となります
※ 2023年8月23日10時以降にcs-cart.jpからダウンロードしたCS-Cartは対策済みです。

サーバープランのお客様(マーケットプレイス版/モール版)は対応済み

CS-Cartサーバープラン (マーケットプレイス版/モール版)をご利用のお客様については、すでにセキュリティアドオンを適用済みのため、下記の作業は不要です。
【注意】CS-Cartスタンダード版をご利用のお客様については対策が施されていません。お手数ですがご自身にて対策を実施願います。

脆弱性の内容と攻撃が成功するための条件

セキュリティの観点から現時点では公開されておりません。

脆弱性修正アドオンのインストール

 ----------------------------------------------------------------

1.CS-Cartがインストールされたフォルダにある「config.local.php」をローカルPCなどにダウンロードした上で、

// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0666);
define('DEFAULT_DIR_PERMISSIONS', 0777);

を下記に書き換えてサーバー上に上書きアップロードしてください。

// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0644);
define('DEFAULT_DIR_PERMISSIONS', 0755);

2.こちらよりセキュリティパッチのアドオンをダウンロードしてください。(解凍不要)
 ※このアドオンはCS-Cart日本語版 - マーケットプレイス版/モール版 バージョン4系(v4.3.4-jp-1 から 4.15.2-jp-1 まで)(v3系、v2系は除く)向けです。
※CS-Cart スタンダード版(v4.3.4-jp-1 から 4.15.2-jp-1 まで)にも適用可能です。

3. 管理画面のアドオン→アドンの管理にアクセスし、
 右上にある「+」ボタン(アドオンのアップロードとインストール)をクリックしてください。
※4.13.2-jp-1,4.15.2-jp-1の場合は歯車メニューの「アドオンを手動でインストール」をクリック

4.「ローカル」ボタンをクリックして
 2でダウンロードしたアドオン(ZIPファイル)を選択して開いてください。

5.「アップロードおよびインストール」ボタンをクリックしてください。

6.「Security Fixes for 4.3.1 - 4.16.2」アドオンが
 インストール済みアドオンにあるのを確認してください。

7.CS-Cartをインストールされたフォルダにある「config.local.php」をローカルPCなどにダウンロードした上で、

// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0644);
define('DEFAULT_DIR_PERMISSIONS', 0755);

を下記に書き換えてサーバー上に上書きアップロードしてください。
// Default permissions for newly created files and directories
define('DEFAULT_FILE_PERMISSIONS', 0666);
define('DEFAULT_DIR_PERMISSIONS', 0777);

 ----------------------------------------------------------------

※ お使いのCS-Cartのバージョンの確認方法は、 こちら をご参照ください。

現時点での被害報告はありません

本脆弱性はCS-Cartの開発元であるcs-cart.comが実施したセキュリティ監査で発見されたものです。
2023年8月23日10時時点では、本脆弱性を攻撃されたことによる被害報告はありません。

連絡先

本脆弱性に関するお問い合わせは、以下のURLよりお寄せください。
https://cscart.liveagent.jp/submit_ticket