EC-CUBEカスタマイズダウンロードから、EC-CUBE脆弱性等に関するお知らせ
EC-CUBEバージョンアップのお知らせ


「EC-CUBE3.0.15正式リリース」に伴う本サイトカスタマイズ版のバージョンアップ(2017/7/15)
ご購入いただいたEC-CUBE3機能カスタマイズ版のEC-CUBE本体を3.0.14から3.0.15にバージョンアップするための修正ファイルを提供いたします。

▼対象商品
EC-CUBE機能カスタマイズ版 C3010D1609A(3.0.14にバージョンアップ済みが対象)
EC-CUBE機能カスタマイズ版 C3011D1610A(3.0.14にバージョンアップ済みが対象)
EC-CUBE機能カスタマイズ版 C3012D1611A(3.0.14にバージョンアップ済みが対象)
EC-CUBE機能カスタマイズ版 C3013D1701A(3.0.14にバージョンアップ済みが対象)
EC-CUBE機能カスタマイズ版 C3014D1703A

下記をご覧いただき、バージョンアップをするかしないかご自身でご判断ください。
今回の修正は脆弱性に伴うものではありませんので、必ずしもバージョンアップを行う必要はありません。
「EC-CUBE 3.0.15」で追加・修正した内容(EC-CUBE公式サイトから)
■EC-CUBE3 3.0.14→3.0.15バージョンアップファイルの一覧
■機能カスタマイズ版の3.0.14→3.0.15バージョンアップ手順
バージョンアップファイルのダウンロード
3.0.14にバージョンアップ済みの[EC-CUBE機能カスタマイズ版 C3010D1609A]
3.0.14にバージョンアップ済みの[EC-CUBE機能カスタマイズ版 C3011D1610A]
3.0.14にバージョンアップ済みの[EC-CUBE機能カスタマイズ版 C3012D1611A]
3.0.14にバージョンアップ済みの[EC-CUBE機能カスタマイズ版 C3013D1701A]
EC-CUBE機能カスタマイズ版 C3014D1703A
C3014D1703A_3.0.15up.zip
「EC-CUBE3.0.14正式リリース」に伴う本サイトカスタマイズ版のバージョンアップ(2017/3/20)
ご購入いただいたEC-CUBE3機能カスタマイズ版のEC-CUBE本体を3.0.13から3.0.14にバージョンアップするための修正ファイルを提供いたします。

▼対象商品
EC-CUBE機能カスタマイズ版 C3010D1609A(3.0.13にバージョンアップ済みが対象)
EC-CUBE機能カスタマイズ版 C3011D1610A(3.0.13にバージョンアップ済みが対象)
EC-CUBE機能カスタマイズ版 C3012D1611A(3.0.13にバージョンアップ済みが対象)
EC-CUBE機能カスタマイズ版 C3013D1701A

下記をご覧いただき、バージョンアップをするかしないかご自身でご判断ください。
今回の修正は脆弱性に伴うものではありませんので、必ずしもバージョンアップを行う必要はありません。
「EC-CUBE 3.0.14」で追加・修正した内容(EC-CUBE公式サイトから)
■EC-CUBE3 3.0.13→3.0.14バージョンアップファイルの一覧
■機能カスタマイズ版の3.0.13→3.0.14バージョンアップ手順
バージョンアップファイルのダウンロード
3.0.13にバージョンアップ済みの[EC-CUBE機能カスタマイズ版 C3010D1609A]
3.0.13にバージョンアップ済みの[EC-CUBE機能カスタマイズ版 C3011D1610A]
3.0.13にバージョンアップ済みの[EC-CUBE機能カスタマイズ版 C3012D1611A]
EC-CUBE機能カスタマイズ版 C3013D1701A
C3013D1701A_3.0.14up.zip
「EC-CUBE3.0.13正式リリース」に伴う本サイトカスタマイズ版のバージョンアップ(2017/1/7)
ご購入いただいたEC-CUBE3機能カスタマイズ版のEC-CUBE本体を3.0.12から3.0.13にバージョンアップするための修正ファイルを提供いたします。

▼対象商品
EC-CUBE機能カスタマイズ版 C3010D1609A(3.0.12にバージョンアップ済みが対象)
EC-CUBE機能カスタマイズ版 C3011D1610A(3.0.12にバージョンアップ済みが対象)
EC-CUBE機能カスタマイズ版 C3012D1611A

下記をご覧いただき、バージョンアップをするかしないかご自身でご判断ください。
今回の修正は脆弱性に伴うものではありませんので、必ずしもバージョンアップを行う必要はありません。
「EC-CUBE 3.0.13」で追加・修正した内容(EC-CUBE公式サイトから)
■EC-CUBE3 3.0.12→3.0.13バージョンアップファイルの一覧
■機能カスタマイズ版の3.0.12→3.0.13バージョンアップ手順
バージョンアップファイルのダウンロード
3.0.12にバージョンアップ済みの[EC-CUBE機能カスタマイズ版 C3010D1609A]
3.0.12にバージョンアップ済みの[EC-CUBE機能カスタマイズ版 C3011D1610A]
EC-CUBE機能カスタマイズ版 C3012D1611A
C3012D1611A_3.0.13up.zip
「EC-CUBE3.0.12正式リリース」に伴う本サイトカスタマイズ版のバージョンアップ(2016/11/3)
ご購入いただいたEC-CUBE3機能カスタマイズ版のEC-CUBE本体を3.0.11から3.0.12にバージョンアップするための修正ファイルを提供いたします。

▼対象商品
EC-CUBE機能カスタマイズ版 C3010D1609A(3.0.11にバージョンアップ済みが対象)
EC-CUBE機能カスタマイズ版 C3011D1610A

下記をご覧いただき、バージョンアップをするかしないかご自身でご判断ください。
今回の修正は脆弱性に伴うものではありませんので、必ずしもバージョンアップを行う必要はありません。
■3.0.11から3.0.12へのバージョンアップファイル一覧
■機能カスタマイズ版の3.0.11→3.0.12バージョンアップ手順
バージョンアップファイルのダウンロード
3.0.11にバージョンアップ済みの[EC-CUBE機能カスタマイズ版 C3010D1609A]
EC-CUBE機能カスタマイズ版 C3011D1610A
C3011D1610A_3.0.12up.zip
「EC-CUBE3.0.11正式リリース」に伴う本サイトカスタマイズ版のバージョンアップ(2016/10/16)
ご購入いただいたEC-CUBE3機能カスタマイズ版のEC-CUBE本体を3.0.10から3.0.11にバージョンアップするための修正ファイルを提供いたします。

▼対象商品
EC-CUBE機能カスタマイズ版 C3010D1606A
EC-CUBE機能カスタマイズ版 C3010D1606B
EC-CUBE機能カスタマイズ版 C3010D1609A

下記をご覧いただき、バージョンアップをするかしないかご自身でご判断ください。
今回の修正は脆弱性に伴うものではありませんので、必ずしもバージョンアップを行う必要はありません。
■3.0.10から3.0.11へのバージョンアップファイル一覧
■機能カスタマイズ版の3.0.10→3.0.11バージョンアップ手順
バージョンアップファイルのダウンロード
EC-CUBE機能カスタマイズ版 C3010D1606A
EC-CUBE機能カスタマイズ版 C3010D1606B
C3010D1606A-B_3.0.11up.zip
EC-CUBE機能カスタマイズ版 C3010D1609A C3010D1609A_3.0.11up.zip
【EC-CUBE:重要】脆弱性に関する緊急のお知らせ(2015/11/13)
「株式会社ロックオンEC-CUBE開発チーム」からのお知らせです。
先日(2015年10月23日)に公開させていただきましたEC-CUBEにおける脆弱性の修正につきまして、
ご案内させていただいた情報だけでは修正が不完全であることが判明いたしました。
脆弱性に関するカスタマイズ版の修正方法
今回の修正で対象となるファイルは1つです。本サイトのカスタマイズ版ではコード変更されていないファイルですので、上書きされて大丈夫です。
ただし、カスタマイズ版のダウンロード後に、ご自身で変更・修正されている場合は、EC-CUBEサイトの案内通り修正箇所のみ変更しなければいけません。
▼修正ファイル
■data/class/helper/SC_Helper_Session.php
(1)下記ページにアクセスして修正ファイルをダウンロードしてください。
https://www.ec-cube.net/info/weakness/201510_02/
「修正ファイル(2.11.0~2.13.3)」というリンクがあるので、クリックするとダウンロードできます。

(2)ダウンロードしたファイルを解凍すると、各バージョンのフォルダが展開されます。
現在使用中のバージョンと合ったフォルダを選択します。
本サイトのカスタマイズ版をダウンロード後にバージョンアップされた方も、現在使用中のバージョンに合ったものを選択して問題ありません。
【EC-CUBE:重要】脆弱性に関する緊急のお知らせ(2015/10/23)
「株式会社ロックオンEC-CUBE開発チーム」からのお知らせです。
EC-CUBE(2.11系/2.12系/2.13系)に緊急度の高い1件の脆弱性があることが判明いたしました。
脆弱性に関するカスタマイズ版の修正方法
カスタマイズ版「2.12系のレスポンシブWeb版」「2.13系すべて」は、修正ファイルのうち1つのファイルについて、既存ファイルを修正する必要があります。
それ以外のカスタマイズ版は、すべての修正ファイルを既存ファイルに上書すれば大丈夫です。
ただし、カスタマイズ版のダウンロード後に、ご自身で変更・修正されている場合は、EC-CUBEサイトの案内通り修正箇所のみ変更しなければいけません。
詳しくは、下記をご覧ください。
(1)下記ページにアクセスして修正ファイルをダウンロードしてください。
https://www.ec-cube.net/info/weakness/201510_01/
「修正ファイル(2.11.0~2.13.3)」というリンクがあるので、クリックするとダウンロードできます。

(2)ダウンロードしたファイルを解凍すると、各バージョンのフォルダが展開されます。
現在使用中のバージョンと合ったフォルダを選択します。
本サイトのカスタマイズ版をダウンロード後にバージョンアップされた方も、現在使用中のバージョンに合ったものを選択して問題ありません。
各バージョンのフォルダには次のファイルが入っています。

○ /data/Smarty/templates/admin/basis/zip_install.tpl
○ /data/Smarty/templates/admin/mail/history.tpl
○ /data/Smarty/templates/admin/mail/template.tpl
○ /data/Smarty/templates/admin/ownersstore/log.tpl
○ /data/Smarty/templates/admin/order/subnavi.tpl
○ /data/Smarty/templates/admin/total/index.tpl
○ /data/Smarty/templates/admin/system/system.tpl
 /data/class/pages/LC_Page.php

○印のファイルは、カスタマイズ版では変更・修正されていないファイルなので、既存ファイルに上書きしてください。
ただし、これらのファイルをご自身で変更・修正されている場合は、EC-CUBEサイトの案内通り修正箇所のみ変更して下さい。

印のファイル(LC_Page.php)は、次のカスタマイズ版においては既存ファイルを直接修正してください。
「2.12系のレスポンシブWeb版」「2.13系すべて」

その他のカスタマイズ版については、LC_Page.phpを既存ファイルに上書きしてください。
ただし、ファイルをご自身で変更・修正されている場合は、EC-CUBEサイトの案内通り修正箇所のみ変更して下さい。

■data/class/pages/LC_Page.php 修正箇所
コードの位置は真ん中よりやや下です。
【変更前】
------------------------------------------
public function doValidToken($is_admin = false)
{
    if ($_SERVER['REQUEST_METHOD'] == 'POST') {
        if (!SC_Helper_Session_Ex::isValidToken(false)) {
            if ($is_admin) {
                SC_Utils_Ex::sfDispError(INVALID_MOVE_ERRORR);
            } else {
                SC_Utils_Ex::sfDispSiteError(PAGE_ERROR, '', true);
            }
            SC_Response_Ex::actionExit();
        }
    }
}
------------------------------------------

【変更後】
------------------------------------------
public function doValidToken($is_admin = false)
{
    if ($is_admin) {
        $mode = $this->getMode();
        if ($_SERVER['REQUEST_METHOD'] == 'POST' || !SC_Utils::isBlank($mode)) {
            if (!SC_Helper_Session_Ex::isValidToken(false)) {
                SC_Utils_Ex::sfDispError(INVALID_MOVE_ERRORR);
                SC_Response_Ex::actionExit();
            }
        }
    } else {
        if ($_SERVER['REQUEST_METHOD'] == 'POST') {
            if (!SC_Helper_Session_Ex::isValidToken(false)) {
                SC_Utils_Ex::sfDispSiteError(PAGE_ERROR, '', true);
                SC_Response_Ex::actionExit();
            }
        }
    }
}
------------------------------------------
「EC-CUBE2.13.2正式リリース」に伴う本サイトダウンロード版の2.13.2へのバージョンアップ(2014/6/23)
カスタマイズダウンロード版2.13.1から2.13.2へバージョンアップが可能です。
下記の対象ファイルをダウンロードしてください。
EC-CUBE2.13.2での修正点については、EC-CUBEサイトをご覧ください。こちら


今回の修正は脆弱性に伴うものではありません。
ファイル数が非常に多いので、特に必要なければ現状の使用でよろしいかと思います。
アップデートを行う際、ダウンロード後お客様でカスタマイズされていない場合はそのまま上書きされても結構ですが、カスタマイズされている場合は、ファイル一つ一つの修正箇所を差分ツールソフト等で確認してから入れ替えてください。
アップデートはお客様ご自身の責任で行っていただきますようお願い致します。万一に備え必ずバックアップをお取りください。(本サイトのデモサイトは2.13.2へバージョンアップしています)
アップデートファイルのダウンロード
レスポンシブWebデザイン:スタンダード版と特集ページ作成版(共通) res2.13.1_2.13.2_standard-special.zip
レスポンシブWebデザイン:ランディングページ作成版 res2.13.1_2.13.2_landing.zip
レスポンシブWebデザイン:送料区分版 res2.13.1_2.13.2_postage.zip
レスポンシブWebデザイン:特集ページ作成+送料区分版 res2.13.1_2.13.2_standard_postage.zip
通常版(非レスポンシブ):スタンダードと特集ページ作成版(共通) 2.13.1_2.13.2_standard-special-design_special.zip
通常版(非レスポンシブ):送料区分版 2.13.1_2.13.2_postage-design_postage.zip
【EC-CUBE:重要】脆弱性に関する緊急のお知らせ(2013/11/18)
「株式会社ロックオンEC-CUBE開発チーム」からのお知らせです。
2.11系、2.12系、2.13系のバージョンで、緊急度の高い1件を含めた、計5件の脆弱性が発見されました。
修正ファイルは、下記ページよりダウンロードしてください。
http://www.ec-cube.net/news/detail.php?news_id=222
EC-CUBEのバージョンによって、若干修正するファイルが異なります。
各バージョンに応じて、下記の修正を行ってください。
2.11系 → (2)(5)
2.12系 → (1)(4)
2.13系 → (1)(4)
本サイトのダウンロード商品の修正について
★本サイトのダウンロード商品では、以下のファイルについてはカスタマイズを行っていませんので、ダウンロードした修正ファイルを上書きしてください。
(1)
(2)
(3)①、③、④
(5)

(3)(4)のファイルはカスタマイズされていますので、ファイルのソースコードを直接修正してください。
(1)【対象バージョン】2.12.3~2.13.0
■data/class/helper/SC_Helper_Address.php

(2)【対象バージョン】2.11.2~2.13.0
■data/class/pages/mypage/LC_Page_Mypage_DeliveryAddr.php

(3)【対象バージョン】2.11.0~2.13.0
■data/class/pages/mypage/LC_Page_Mypage_Refusal.php

■data/Smarty/templates/default(テンプレートフォルダ名)/mypage/refusal_confirm.tpl
30行目付近に、1行追加します。
<input type="hidden" name="<!--{$smarty.const.TRANSACTION_ID_NAME}-->" value="<!--{$transactionid}-->" />
<input type="hidden" name="mode" value="complete" />
↓【変更】
<input type="hidden" name="<!--{$smarty.const.TRANSACTION_ID_NAME}-->" value="<!--{$transactionid}-->" />
<input type="hidden" name="refusal_transactionid" value="<!--{$refusal_transactionid}-->" />
<input type="hidden" name="mode" value="complete" />

■data/Smarty/templates/mobile/mypage/refusal.tpl

■data/Smarty/templates/sphone/mypage/refusal_confirm.tpl
(4)【対象バージョン】2.11.0~2.13.0
本サイトのダウンロード商品は、下記のファイルがカスタマイズされていますので、ファイルのソースコードを直接修正してください。
修正ファイルの上書きは絶対にしないでください。
修正内容は、.value の後に |h を追加します。

以下、修正箇所

■data/Smarty/templates/default(テンプレートフォルダ名)/shopping/payment.tpl
134行目付近
<input type="hidden" name="<!--{$key}-->" value="<!--{$arrForm[$key].value}-->" id="deliv_id" />
↓【変更】
<input type="hidden" name="<!--{$key}-->" value="<!--{$arrForm[$key].value|h}-->" id="deliv_id" />

■data/Smarty/templates/mobile/shopping/payment.tpl
31行目付近
<input type="hidden" name="<!--{$key}-->" value="<!--{$arrForm[$key].value}-->">
↓【変更】
<input type="hidden" name="<!--{$key}-->" value="<!--{$arrForm[$key].value|h}-->">

■data/Smarty/templates/sphone/shopping/payment.tpl
133行目付近
<input type="hidden" name="<!--{$key}-->" value="<!--{$arrForm[$key].value}-->" id="deliv_id" />
↓【変更】
<input type="hidden" name="<!--{$key}-->" value="<!--{$arrForm[$key].value|h}-->" id="deliv_id" />
(5)【対象バージョン】2.11.0~2.11.5
■html/handle_error.php
【EC-CUBE2.12.6 正式版をリリース】1件の脆弱性対応含む不具合修正を実施。(2013/08/29)
株式会社ロックオンEC-CUBEサイトからのお知らせです。
緊急度の高い不具合を修正した最新バージョンEC-CUBE2.12.6をリリース
詳細は、株式会社ロックオンEC-CUBEサイトでご覧いただけます。
EC-CUBE2.12.6 正式版リリース
修正を要するファイルは以下の通りです。
(1)data/class/api/SC_Api_Operation.php(不具合修正ファイル)
(2)data/class/SC_Initial.php(バージョンを2.12.6と表示するためのファイル)
【変更内容】
(1)data/class/api/SC_Api_Operation.php
290行目あたり
$arrErr = $objFormParam->checkError();
↓【変更】
$arrErr = SC_Api_Operation_Ex::checkParam($objFormParam);

最後の } の前に追加
    /**
     * APIのリクエスト基本パラメーターのチェック
     *
     * @param object $objFormParam
     * @return array $arrErr
     */
    protected function checkParam($objFormParam)
    {
        $arrErr = $objFormParam->checkError();
        if (!preg_match("/^[a-zA-Z0-9\-\_]+$/", $objFormParam->getValue('Operation')) && !SC_Utils::isBlank($objFormParam->getValue('Operation'))) {
            $arrErr['ECCUBE.Operation.ParamError'] = 'Operationの値が不正です。';
        }
        if (!preg_match("/^[a-zA-Z0-9\-\_]+$/", $objFormParam->getValue('Service')) && !SC_Utils::isBlank($objFormParam->getValue('Service'))) {
            $arrErr['ECCUBE.Service.ParamError'] = 'Serviceの値が不正です。';
        }
        if (!preg_match("/^[a-zA-Z0-9\-\_]+$/", $objFormParam->getValue('Style')) && !SC_Utils::isBlank($objFormParam->getValue('Style'))) {
            $arrErr['ECCUBE.Style.ParamError'] = 'Styleの値が不正です。';
        }
        if (!preg_match("/^[a-zA-Z0-9\-\_]+$/", $objFormParam->getValue('Validate')) && !SC_Utils::isBlank($objFormParam->getValue('Validate'))) {
            $arrErr['ECCUBE.Validate.ParamError'] = 'Validateの値が不正です。';
        }
        if (!preg_match("/^[a-zA-Z0-9\-\_\.]+$/", $objFormParam->getValue('Version')) && !SC_Utils::isBlank($objFormParam->getValue('Version'))) {
            $arrErr['ECCUBE.Version.ParamError'] = 'Versionの値が不正です。';
        }
        return $arrErr;
    }

(2)data/class/SC_Initial.php
28行目あたり
* @version $Id: SC_Initial.php 22894 2013-06-25 06:23:48Z m_uehara $
↓【変更】
* @version $Id: SC_Initial.php 23146 2013-08-28 05:46:35Z m_uehara $

40行目あたり
define('ECCUBE_VERSION', '2.12.5');
↓【変更】
define('ECCUBE_VERSION', '2.12.6');

【EC-CUBE:重要】脆弱性に関する緊急のお知らせ(2013/6/26)
「株式会社ロックオンEC-CUBE開発チーム」からのお知らせです。
2.4系、2.11系、2.12系のバージョンに、深刻な脆弱性が発見されました。
詳細は、株式会社ロックオンEC-CUBEサイトでご覧いただけます。
EC-CUBE2.12.5 正式版リリース
EC-CUBE 脆弱性に関するお知らせ
修正を要するファイルは次のとおりですが、本サイトのカスタマイズ箇所に関わる箇所(★印)もありますので、ご利用のバージョンに合ったものを下記よりダウンロードしてください。
修正が必要な、すべてのファイルをダウロードしていただけます。
(1)data/class/SC_CheckError.php
(2)data/class/SC_FormParam.php
(3)data/class/pages/LC_Page_ResizeImage.php
(4)data/class/pages/admin/contents/LC_Page_Admin_Contents_RecommendSearch.php
(5)★data/class/pages/admin/contents/LC_Page_Admin_Contents_PickupSearch.php(バージョンによる)
(6)★data/class/pages/products/LC_Page_Products_List.php
(7)data/Smarty/templates/admin/contents/recommend_search.tpl
(8)★data/Smarty/templates/admin/contents/pickup_search.tpl(バージョンによる)
修正ファイルをダウンロード
(デザインテンプレートの修正はありません。システムファイルのみの修正です)
EC-CUBEカスタマイズ2.11.4 → ダウンロード
EC-CUBEカスタマイズ2.11.5 → ダウンロード
EC-CUBEカスタマイズ2.12.2 → ダウンロード
EC-CUBEカスタマイズ2.12.3 → ダウンロード
EC-CUBEカスタマイズ2.12.4 → ダウンロード
◆特集ページ作成版◆2.12.4デフォルト+特集ページ作成 → ダウンロード
◆特集ページ作成版◆2.12.4カスタマイズ+特集ページ作成 → ダウンロード
◆特集ページ作成版◆2.12.4カスタマイズ+デザインテンプレート+特集ページ作成 → ダウンロード
◆会員登録項目追加版◆2.12.4デフォルト+会員登録項目追加 → ダウンロード
◆会員登録項目追加版◆2.12.4カスタマイズ+会員登録項目追加 → ダウンロード
◆会員登録項目追加版◆2.12.4カスタマイズ+デザインテンプレート+会員登録項目追加 → ダウンロード
◆送料区分(送料ランク)版◆2.12.4デフォルト+送料区分 → ダウンロード
◆送料区分(送料ランク)版◆2.12.4カスタマイズ+送料区分 → ダウンロード
◆送料区分(送料ランク)版◆2.12.4カスタマイズ+デザインテンプレート+送料区分 → ダウンロード
本サイトのダウンロード商品は2013年6月26日時点で修正済みです。

【EC-CUBE:重要】脆弱性に関する緊急のお知らせ(2013/5/22)
「株式会社ロックオンEC-CUBE開発チーム」からのお知らせです。
2.11.0以降のバージョンに、深刻な脆弱性が発見されました。

修正を要するファイルは次のとおりです。
(1)data/class/helper/SC_Helper_Session.php
(2)data/class/pages/cart/LC_Page_Cart.php
(3)data/class/pages/forgot/LC_Page_Forgot.php
(4)data/Smarty/templates/default/shopping/multiple.tpl
(5)data/Smarty/templates/mobile/shopping/multiple.tpl
(6)data/Smarty/templates/sphone/shopping/multiple.tpl
本サイトのカスタマイズファイルの修正
上記修正ファイルをそのまま適用できます。
ただし、デザインテンプレートをご利用の方は、下記ファイルのみ、本サイトの修正ファイルで上書きする必要があります。
(4)data/Smarty/templates/デザインテンプレートのフォルダ/shopping/multiple.tpl
デザインテンプレートはシリーズに関係なく、すべて共通です。
本サイトのデザインテンプレート用「multiple.tpl」をダウンロード
本サイトのダウンロード商品は2013年5月22日時点で修正済みです。
このページの先頭へ