Headline

CVE-2023-46845: EC-CUBE4系におけるRCE可能な脆弱性(JVN#29195731)

EC-CUBE 3 series (3.0.0 to 3.0.18-p6) and 4 series (4.0.0 to 4.0.6-p3, 4.1.0 to 4.1.2-p2, and 4.2.0 to 4.2.2) contain an arbitrary code execution vulnerability due to improper settings of the template engine Twig included in the product. As a result, arbitrary code may be executed on the server where the product is running by a user with an administrative privilege.

12 months ago

CVE

Open in Source

#csrf #vulnerability #ios #android #js #git #php #ssl

更新履歴

2023/11/09 15:00

目次の追加

2023/11/07 14:00

JVNからの公表内容情報へのリンクを追加

2023/10/26 13:00

初版公開

EC-CUBEにおけるRCE可能な脆弱性
脆弱性の概要
Twigの更新手順
修正方法1: 修正ファイルを利用する場合(4.0系)
修正方法2: 修正差分を確認して適宜反映する場合(4.0系)
問い合わせ先
謝辞

EC-CUBEにおけるRCE可能な脆弱性

EC-CUBE 4.0系におけるRCE可能な脆弱性(危険度: 低)があることが判明いたしました。

脆弱性そのものは、修正の反映によりすぐに解決するものです。
以下のいずれかの方法により、ご対応をお願いいたします。

修正ファイルを適用する
修正差分を確認して適用する

皆様にはお手数おかけし誠に申し訳ございません。
本脆弱性における被害報告は現時点でございませんが、できるだけ速やかにご対応をお願いいたします。

脆弱性の概要****EC-CUBEにおけるRCE可能な脆弱性****危険度:

低

不具合が存在するEC-CUBEのバージョン:

4.0.0〜4.0.6-p3

詳細:

該当バージョンのEC-CUBEにはRCE可能な脆弱性が存在します。EC-CUBEはテンプレートエンジンとしてTwigを利用していますが、EC-CUBEの一部画面でTwigに対する設定不備が存在し、攻撃者が対象のシステム上で任意のコードを実行できる可能性があります。

JVNからの公表内容 (2023/11/07公開)

JVN#29195731: EC-CUBE 3系および 4系において任意のコードを実行される脆弱性

EC-CUBE 3系および 4系において任意のコードを実行される脆弱性 CVE-2023-46845

Twigの更新手順

EC-CUBE4.0系で利用している場合、Twigの不具合によりSandBox機能が動作しません。
修正方法を実施する前に、Twigのアップデートを行ってください。

Twigをアップデートするためには、composerを使用する方法とファイルを手動でアップデートする方法の2つがあります。
以下のどちらかを実施してください。

composerコマンドにて、Twigをアップデート:

以下のコマンドを実行し、Twigを新しいバージョンに更新してください。
$ composer update twig/twig
$ composer update twig/extensions

また、以下のコマンドを実行し、Twigが更新されていることを確認してください。

$ composer show twig/twig
※以下のように表示されることを確認してください。
name : twig/twig
versions : * v2.15.5

$ composer show twig/extensions
※以下のように表示されることを確認してください。
name : twig/extensions
versions : * v1.5.4

Twigのファイルを手動でアップデート:

Twigを手動でアップデートする時は、以下の手順に従ってください。

twig/twigのファイルを以下のURLからダウンロードします。
https://github.com/twigphp/Twig/archive/refs/tags/v2.15.5.zip

[EC-CUBEの設置先]/vendor/twig/twigディレクトリ内を削除してください。
ダウンロードしたZIPファイルを[EC-CUBEの設置先]/vendor/twig/twigディレクトリに展開してください。

twig/extensionのファイルを以下のURLからダウンロードします。
https://github.com/twigphp/Twig-extensions/archive/refs/tags/v1.5.4.zip

[EC-CUBEの設置先]/vendor/twig/extensionsディレクトリ内を削除してください。
ダウンロードしたZIPファイルを[EC-CUBEの設置先]/vendor/twig/extensionsディレクトリに展開してください。

ファイルが正しく上書きされたことを確認してください。
また、EC-CUBEの動作を確認し、テンプレートが正しく表示されることを確認してください。

修正方法1: 修正ファイルを利用する場合(4.0系)****

※本修正を実施する前に、Twigの更新を必ず行ってください。

開発環境がある場合は、まず開発環境でお試しください。
以下の手順に従って、修正ファイルの反映をお願いいたします。

修正ファイルのダウンロード

ご利用中のEC-CUBEのバージョンに該当する修正ファイルをダウンロードしてください。
※EC-CUBEのバージョンはこちらの手順でご確認ください。
※修正ファイルは各バージョンの最新版に対して作成しています。旧バージョンをご利用の場合は、「修正方法2」のご対応をお願いします。
※対象のファイルに対して既にカスタマイズをしている場合は、「修正方法2」のご対応をお願いします。
- 修正ファイル(4.0.6-p3) (SHA256:0bcbb847ea1aaf8443f49f30015066122ce27f253574dcc92cae4b5859a6646f)
ダウンロードし、解凍していただきますと、以下の修正ファイルがあります。必ず該当するバージョンのファイルをご利用ください。

4.0.6-p3
- app/config/eccube/packages/twig_extensions.yaml
- src/Eccube/Resource/template/default/Product/detail.twig
- src/Eccube/Resource/template/default/default_frame.twig
- src/Eccube/Twig/Extension/IgnoreTwigSandboxErrorExtension.php
- src/Eccube/Twig/Sandbox/SecurityPolicyDecorator.php
EC-CUBEファイルのバックアップ

あらかじめEC-CUBEファイル全体のバックアップを行ってください。
修正ファイルの反映

以下のファイルを上書き更新してください。

上書きするファイル

4.0.6-p3
- app/config/eccube/packages/twig_extensions.yaml
- src/Eccube/Resource/template/default/Product/detail.twig
- src/Eccube/Resource/template/default/default_frame.twig
- src/Eccube/Twig/Extension/IgnoreTwigSandboxErrorExtension.php
- src/Eccube/Twig/Sandbox/SecurityPolicyDecorator.php
下記にファイルが存在する場合は同様に上書きをお願いします
- app/template/default/Product/detail.twig
- app/template/default/default_frame.twig
また、snippet.twigに関してはプラグインで拡張する箇所となるため対応不要となります。

※デザインテンプレートの適用や、EC-CUBE本体のカスタマイズをしている場合、修正箇所の差分をご確認のうえ反映をお願いします。
※開発環境がある場合は、開発環境での反映・動作確認を行った後に、本番環境への反映をおすすめします。
キャッシュの削除

EC-CUBE のキャッシュの削除が必要です。
EC-CUBE の管理画面にログインいただき、コンテンツ管理 -> キャッシュ管理のページからキャッシュの削除をお願いいたします。
動作確認

フロント画面と管理画面（ログインが必要）それぞれにおいて、基本操作が正常に行えることをご確認ください。

修正方法2: 修正差分を確認して適宜反映する場合(4.0系)****

※本修正を実施する前に、Twigの更新を必ず行ってください。

以下のコード差分情報を参照して頂き、必要な箇所に修正を反映してください。

本修正方法はEC-CUBE 4.0.6-p3のバージョンを例として提示しております。
過去バージョンをご利用の場合は、下記修正対象ファイルの修正差分を参考にご対応お願いいたします。

修正差分

app/config/eccube/packages/twig_extensions.yaml +143 -0
src/Eccube/Resource/template/default/Product/detail.twig +1 -1
src/Eccube/Resource/template/default/default_frame.twig +1 -1
src/Eccube/Twig/Extension/IgnoreTwigSandboxErrorExtension.php +78 -0
src/Eccube/Twig/Sandbox/SecurityPolicyDecorator.php +47 -0

@@ -8,3 +8,146 @@ services:

#Twig\Extensions\DateExtension: ~

Twig\Extensions\IntlExtension: ~

#Twig\Extensions\TextExtension: ~

eccube.twig_sandbox.policy:

class: Twig\Sandbox\SecurityPolicy

arguments:

$allowedTags: “%eccube.twig_sandbox.allowed_tags%”

$allowedFilters: “%eccube.twig_sandbox.allowed_filters%”

$allowedFunctions: “%eccube.twig_sandbox.allowed_functions%”

$allowedMethods: “%eccube.twig_sandbox.allowed_methods%”

$allowedProperties: “%eccube.twig_sandbox.allowed_properties%”

eccube.twig_sandbox.extension:

class: Twig\Extension\SandboxExtension

arguments:

- ‘@eccube.twig_sandbox.policy’

- false

tags: [‘twig.extension’]

Eccube\Twig\Sandbox\SecurityPolicyDecorator:

decorates: ‘eccube.twig_sandbox.policy’

parameters:

eccube.twig_sandbox.allowed_tags:

- ‘apply’

- ‘block’

- ‘deprecated’

- ‘embed’

- ‘extends’

- ‘flush’

- ‘for’

- ‘if’

- ‘set’

- ‘spaceless’

- ‘verbatim’

- ‘with’

- ‘form_theme’

- ‘stopwatch’

- ‘trans’

- ‘trans_default_domain’

eccube.twig_sandbox.allowed_filters:

- ‘abs’

- ‘batch’

- ‘capitalize’

- ‘column’

- ‘convert_encoding’

- ‘date’

- ‘date_modify’

- ‘default’

- ‘escape’

- ‘first’

- ‘format’

- ‘join’

- ‘json_encode’

- ‘keys’

- ‘last’

- ‘length’

- ‘lower’

- ‘merge’

- ‘nl2br’

- ‘number_format’

- ‘replace’

- ‘reverse’

- ‘round’

- ‘slice’

- ‘spaceless’

- ‘split’

- ‘striptags’

- ‘title’

- ‘trim’

- ‘upper’

- ‘url_encode’

- ‘abbr_class’

- ‘abbr_method’

- ‘file_link’

- ‘format_args’

- ‘format_args_as_text’

- ‘humanize’

- ‘trans’

- ‘yaml_dump’

- ‘yaml_encode’

- ‘date_day’

- ‘date_day_with_weekday’

- ‘date_format’

- ‘date_min’

- ‘date_sec’

- ‘doctrine_pretty_query’

- ‘doctrine_replace_query_parameters’

- ‘e’

- ‘ellipsis’

- ‘file_ext_icon’

- ‘form_encode_currency’

- ‘format_log_message’

- ‘no_image_product’

100

- ‘price’

101

- ‘time_ago’

102

- ‘doctrine_minify_query’

103

- ‘localizedcurrency’

104

- ‘localizeddate’

105

- ‘localizednumber’

106

- ‘transchoice’

107

eccube.twig_sandbox.allowed_functions:

108

- ‘cycle’

109

- ‘date’

110

- ‘max’

111

- ‘min’

112

- ‘random’

113

- ‘range’

114

- ‘absolute_url’

115

- ‘asset’

116

- ‘asset_version’

117

- ‘csrf_token’

118

- ‘is_granted’

119

- ‘logout_path’

120

- ‘logout_url’

121

- ‘path’

122

- ‘relative_path’

123

- ‘url’

124

- ‘active_menus’

125

- ‘class_categories_as_json’

126

- ‘csrf_token_for_anchor’

127

- ‘currency_symbol’

128

- ‘get_all_carts’

129

- ‘get_cart’

130

- ‘get_carts_total_price’

131

- ‘get_carts_total_quantity’

132

- ‘has_errors’

133

- ‘is_reduced_tax_rate’

134

- ‘product’

135

- ‘workflow_can’

136

- ‘workflow_has_marked_place’

137

- ‘workflow_marked_places’

138

- ‘workflow_transitions’

139

- ‘device_version’

140

- ‘full_view_url’

141

- ‘is_android_os’

142

- ‘is_device’

143

- ‘is_full_view’

144

- ‘is_ios’

145

- ‘is_mobile’

146

- ‘is_mobile_view’

147

- ‘is_not_mobile_view’

148

- ‘is_tablet’

149

- ‘is_tablet_view’

150

eccube.twig_sandbox.allowed_methods:

151

'Symfony\Bridge\Twig\AppVariable’: [ ‘getrequest’ ]

152

'Symfony\Component\HttpFoundation\Request’: [ ‘geturi’ ]

153

eccube.twig_sandbox.allowed_properties: []

@@ -375,7 +375,7 @@ file that was distributed with this source code.

375

</div>

376

{% if Product.freearea %}

377

378

- {{ include(template_from_string(Product.freearea)) }}

378

{{ include(template_from_string(Product.freearea), sandboxed = true) }}

379

</div>

380

{% endif %}

381

</div>

@@ -28,7 +28,7 @@ file that was distributed with this source code.

{% endif %}

{% if Page.meta_tags is not empty %}

- {{ include(template_from_string(Page.meta_tags)) }}

{{ include(template_from_string(Page.meta_tags), sandboxed = true) }}

{% endif %}

@@ -0,0 +1,78 @@

<?php

* This file is part of EC-CUBE

* http://www.ec-cube.co.jp/

* For the full copyright and license information, please view the LICENSE

* file that was distributed with this source code.

namespace Eccube\Twig\Extension;

use Twig\Environment;

use Twig\Error\LoaderError;

use Twig\Extension\AbstractExtension;

use Twig\Extension\SandboxExtension;

use Twig\Sandbox\SecurityError;

use Twig\TwigFunction;

* \vendor\twig\twig\src\Extension\CoreExtension の拡張

class IgnoreTwigSandboxErrorExtension extends AbstractExtension

{

* {@inheritdoc}

public function getFunctions(): array

{

return [

new TwigFunction('include’, [$this, ‘twig_include’], [‘needs_environment’ => true, ‘needs_context’ => true, ‘is_safe’ => [‘all’]]),

];

}

* twig sandboxの例外を操作します

* app_env = devの場合、エラーを表示する

* app_env = prodの場合、エラーを表示しない

* @param Environment $env

* @param $context

* @param $template

* @param $variables

* @param $withContext

* @param $ignoreMissing

* @param $sandboxed

* @return string|void

* @throws LoaderError

* @throws SecurityError

public function twig_include(Environment $env, $context, $template, $variables = [], $withContext = true, $ignoreMissing = false, $sandboxed = false)

{

try {

return \twig_include($env, $context, $template, $variables, $withContext, $ignoreMissing, $sandboxed);

} catch (SecurityError $e) {

// devではエラー画面が表示されるようにする

$appEnv = env(‘APP_ENV’);

if ($appEnv === ‘dev’) {

throw $e;

} else {

// ログ出力

log_warning($e->getMessage(), [‘exception’ => $e]);

// 例外がスローされた場合、sandboxが効いた状態になってしまうため追加

$sandbox = $env->getExtension(SandboxExtension::class);

if (!$sandbox->isSandboxedGlobally()) {

$sandbox->disableSandbox();

}

}

}

}

}

@@ -0,0 +1,47 @@

<?php

* This file is part of EC-CUBE

* http://www.ec-cube.co.jp/

* For the full copyright and license information, please view the LICENSE

* file that was distributed with this source code.

namespace Eccube\Twig\Sandbox;

use Twig\Sandbox\SecurityPolicy as BasePolicy;

use Twig\Sandbox\SecurityPolicyInterface;

class SecurityPolicyDecorator implements SecurityPolicyInterface {

/** @var BasePolicy */

private $securityPolicy;

public function __construct(BasePolicy $securityPolicy)

{

$this->securityPolicy = $securityPolicy;

}

public function checkSecurity($tags, $filters, $functions)

{

$this->securityPolicy->checkSecurity($tags, $filters, $functions);

}

public function checkMethodAllowed($obj, $method)

{

// __toStringの場合はチェックをスキップする

if ($method === ‘__toString’) {

return;

}

$this->securityPolicy->checkMethodAllowed($obj, $method);

}

public function checkPropertyAllowed($obj, $method)

{

$this->securityPolicy->checkPropertyAllowed($obj, $method);

}

}

問い合わせ先

本脆弱性に関するお問合せ：

EC-CUBE 運営チーム
MAIL: [email protected]

謝辞

本脆弱性は、

株式会社エヌ・エフ・ラボラトリーズ三浦剛様

よりご報告いただきました。
この場をお借りして、厚く御礼申し上げます。

CVE: Latest News

CVE-2023-50976: Transactions API Authorization by oleiman · Pull Request #14969 · redpanda-data/redpanda

11 months ago

11 months ago

11 months ago

11 months ago

11 months ago