バージョン選択

フォーラム

メニュー

オンライン状況

115 人のユーザが現在オンラインです。 (106 人のユーザが フォーラム を参照しています。)
登録ユーザ: 0
ゲスト: 115
もっと...

サイト内検索

質問 > その他 > EC-CUBE3系におけるRCE可能な脆弱性(JVN#29195731)対策について

その他

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
PONK
投稿日時: 2024/5/29 15:55
対応状況: −−−
半人前
登録日: 2019/11/15
居住地:
投稿: 19
EC-CUBE3系におけるRCE可能な脆弱性(JVN#29195731)対策について
[EC-CUBE] EC-CUBE3.0.15
[PHP] 7.1.33
[Twig] v1.34.0

現在運用中のサイトにて以下の脆弱性に関する対応をしております。

■EC-CUBE3系におけるRCE可能な脆弱性(JVN#29195731)
https://www.ec-cube.net/info/weakness/20231026/index_3.php

修正ファイルを適用したところ、上記ページの「修正ファイル適用による注意点」と同様の画面に遭遇したため、/src/Eccube/ServiceProvider/SandboxServiceProvider.phpのコードを修正しましたが、今度はindex_dev.phpにて以下のエラーが確認されております。

ClassNotFoundException in SandboxServiceProvider.php line 34: Attempted to load class "Twig_Extension_SandboxExtension" from the global namespace.
Did you forget a "use" statement?

キャッシュはFTPにてサーバーに接続し、/app/cache以下を全て削除しております。
また、Twigに関しましても、手動でアップデートしております。

対処方法についてアドバイスいただけますと幸いです。
mcontact
投稿日時: 2024/5/29 16:17
対応状況: −−−
登録日: 2022/1/22
居住地:
投稿: 1350
Re: EC-CUBE3系におけるRCE可能な脆弱性(JVN#29195731)対策について
引用:
ClassNotFoundException in SandboxServiceProvider.php line 34: Attempted to load class "Twig_Extension_SandboxExtension" from the global namespace.
Did you forget a "use" statement?


とエラーが出ている通り、Twig_Extension_SandboxExtensionの含まれているTwigが正しく更新されていないかと思います。


----------------
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
EC-CUBEインテグレートパートナー【ゴールド】ランク
M&I Works
URL: https://miworks.biz/
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

PONK
投稿日時: 2024/5/29 17:38
対応状況: −−−
半人前
登録日: 2019/11/15
居住地:
投稿: 19
Re: EC-CUBE3系におけるRCE可能な脆弱性(JVN#29195731)対策について
mcontactさま

アドバイスいただき、ありがとうございます。

「Twig_Extension_SandboxExtensionの含まれているTwigの更新」とは /vendor/twig/twig 以下をtwig1.34.0以降に入れ替え、キャッシュを削除するとの認識で良いのでしょうか?
mcontact
投稿日時: 2024/5/29 18:21
対応状況: −−−
登録日: 2022/1/22
居住地:
投稿: 1350
Re: EC-CUBE3系におけるRCE可能な脆弱性(JVN#29195731)対策について
https://www.ec-cube.net/info/weakness/20231026/index_3.php?_gl=1*1haldyh*_ga*MTQ1MjgxNjM3LjE3MDg4MjkwMDA.*_ga_PBKHJT0C0B*MTcxNjk1NzcxNC4zODguMS4xNzE2OTc0MjE1LjQ5LjAuMA..#evidence

に記載されている手順通りかと思います。

たぶんないと思いますが、下記の差分修正はあくまでEC-CUBE3.0.18-p6での修正例ですのでEC-CUBE3.0.15との修正の場合は、例示以外に修正が必要かもしれませんが。。。

https://www.ec-cube.net/info/weakness/20231026/index_3.php?_gl=1*1haldyh*_ga*MTQ1MjgxNjM3LjE3MDg4MjkwMDA.*_ga_PBKHJT0C0B*MTcxNjk1NzcxNC4zODguMS4xNzE2OTc0MjE1LjQ5LjAuMA..#diff-v30


----------------
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
EC-CUBEインテグレートパートナー【ゴールド】ランク
M&I Works
URL: https://miworks.biz/
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

PONK
投稿日時: 2024/5/30 10:21
対応状況: 解決済
半人前
登録日: 2019/11/15
居住地:
投稿: 19
Re: EC-CUBE3系におけるRCE可能な脆弱性(JVN#29195731)対策について
mcontactさま

度々のアドバイスありがとうございます。

解決いたしました。

結果としては
SandboxServiceProvider.php line 34
の記述の修正に間違いがありました。

https://www.ec-cube.net/info/weakness/20231026/index_3.php?_gl=1*1aj19l*_ga*MTc4NzU5MjcyMC4xNzE3MDI5NDg0*_ga_PBKHJT0C0B*MTcxNzAyOTQ4NC4xLjEuMTcxNzAyOTUyNi4xOC4wLjA.#d2h-30
のとおり修正をしたところ、無事に動作するようになりました。
スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBE公式 Amazon Payプラグイン

統計情報

総メンバー数は90,090名です
総投稿数は110,310件です

投稿数ランキング

1
seasoft
7369
2
468
3217
3
AMUAMU
2712
4
nanasess
2314
5
umebius
2085
6
yuh
1819
7
h_tanaka
1681
8
red
1571
9
mcontact
1350
10
tsuji
958
11
fukap
907
12
shutta
835
13
tao_s
799
14 ramrun 789
15 karin 689
16 sumida 641
17
homan
633
18 DELIGHT 572
19
patapata
502
20
flealog
485


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.