EC-CUBEにおけるディレクトリトラバーサルの脆弱性

EC-CUBE 3系、4.0系、4.1系にEC-CUBEにおけるディレクトリトラバーサルの脆弱性(危険度: 低)があることが判明いたしました。

脆弱性そのものは、修正の反映によりすぐに解決するものです。
以下のいずれかの方法により、ご対応をお願いいたします。

修正ファイルを適用する

修正差分を確認して適用する

皆様にはお手数おかけし誠に申し訳ございません。
本脆弱性における被害報告は現時点でございませんが、できるだけ速やかにご対応をお願いいたします。 修正ファイル(4.0.6-p1用) (SHA256:6f765843b4fe4903c0ede49bec1cc26966e414b02f50e76c645a3fa48cfcc531) 修正ファイル(4.1.2用) (SHA256:19c207f40a025e3b483b84a32d32a498b50c12fd89fc4dea6b6d8d2bd2b38603) 修正ファイル(3.0.18-p4用) (SHA256:8244f7d7481701c80fc3f82f3d57f9201559725a6686d8073eeeacf0fd32043d) ダウンロードし、解凍していただきますと、以下の修正ファイルがあります。必ず該当するバージョンのファイルをご利用ください。

src/Eccube/Controller/Admin/Content/FileController.php

src/Eccube/Controller/Admin/Setting/Shop/PaymentController.php

src/Eccube/Form/Type/Admin/ProductType.php

EC-CUBEファイルのバックアップ あらかじめEC-CUBEファイル全体のバックアップを行ってください。
※作業中はメンテナンスモードに切り替えることをおすすめします。

修正ファイルの反映

以下のファイルを上書き更新してください。

上書きするファイル

src/Eccube/Controller/Admin/Content/FileController.php

src/Eccube/Controller/Admin/Setting/Shop/PaymentController.php

src/Eccube/Form/Type/Admin/ProductType.php

※EC-CUBE本体のカスタマイズをしている場合、修正箇所の差分をご確認のうえ反映をお願いします。
※開発環境がある場合は、開発環境での反映・動作確認を行った後に、本番環境への反映をおすすめします。 管理画面にログインし、基本操作が正常に行えることをご確認ください。
※メンテナンスモードにされていた場合は解除をお願いします。

本修正方法はEC-CUBE 4.0.6-p1のバージョンを例として提示しております。
過去バージョンをご利用の場合は、下記修正対象ファイルの修正差分を参考にご対応お願いいたします。