Merge pull request #1341 from EC-CUBE/fix/security-rce-dynamic-include

nanasess · web-flow · commit 934da430685b · 2026-02-18T09:55:07.000+09:00
Fix RCE: アップデート/バッチ機能の動的includeによるコード実行脆弱性を修正
diff --git a/data/class/batch/SC_Batch_Update.php b/data/class/batch/SC_Batch_Update.php
@@ -58,6 +58,7 @@ public function execute($target = '.')
         $bkupPathFile = $bkupPath.'files/';
         $this->lfMkdirRecursive($bkupPathFile.'dummy');
 
+        $distinfo = [];
         $arrLog = [
             'err' => [],
             'ok' => [],
@@ -84,12 +85,9 @@ public function execute($target = '.')
                 // 拡張子を取得
                 $suffix = pathinfo($path, PATHINFO_EXTENSION);
 
-                // distinfo の変数定義
-                $distinfo ??= '';
-
                 // distinfo.php を読み込む
                 if ($fileName == 'distinfo.php') {
-                    include_once $path;
+                    $distinfo = $this->parseDistInfo($path);
                 }
 
                 // 除外ファイルをスキップ
@@ -252,16 +250,86 @@ public function lfMkdirRecursive($path)
     public function makeDistInfo($bkupDistInfoArray)
     {
         $src = "<?php\n"
-             .'$distifo = array('."\n";
+             .'$distinfo = array('."\n";
 
         foreach ($bkupDistInfoArray as $key => $value) {
-            $src .= "'{$key}' => '{$value}',\n";
+            $src .= "'".addcslashes($key, "'")."' => '".addcslashes($value, "'")."',\n";
         }
         $src .= ");\n?>";
 
         return $src;
     }
 
+    /**
+     * distinfo.php を安全にパースして $distinfo 配列を返す.
+     *
+     * include を使わず、ファイル内容を正規表現でパースすることで
+     * 任意コード実行を防止する.
+     *
+     * @param string $path distinfo.php のパス
+     *
+     * @return array SHA1ハッシュ => ファイルパス の連想配列
+     */
+    public function parseDistInfo($path)
+    {
+        $content = file_get_contents($path);
+        if ($content === false) {
+            $this->printLog('distinfoファイルの読み込みに失敗しました: '.$path);
+
+            return [];
+        }
+
+        // PHP定数の解決マップ
+        $constants = [];
+        foreach (['MODULE_REALDIR', 'HTML_REALDIR', 'DATA_REALDIR'] as $name) {
+            if (defined($name)) {
+                $constants[$name] = constant($name);
+            }
+        }
+
+        $distinfo = [];
+        // 'sha1hash' => MODULE_REALDIR . 'filepath', または 'sha1hash' => 'filepath', の形式をパースする
+        if (preg_match_all("/'([a-f0-9]{40})'\s*=>\s*(.+?)\s*[,)]/", $content, $matches)) {
+            $count = count($matches[0]);
+            for ($i = 0; $i < $count; $i++) {
+                $value = trim($matches[2][$i]);
+                // CONSTANT . 'path' の形式を解決する (e.g., MODULE_REALDIR . 'mdl_foo/path.php')
+                if (preg_match('/^([A-Z_]+)\s*\.\s*([\'"])(.+?)\2$/', $value, $valMatch)) {
+                    $constName = $valMatch[1];
+                    $relativePath = $valMatch[3];
+                    if (isset($constants[$constName])) {
+                        // パストラバーサルを防止
+                        if (str_contains($relativePath, '..') || (isset($relativePath[0]) && $relativePath[0] === '/')) {
+                            $this->printLog('不正な相対パスが検出されました: '.$relativePath);
+                        } else {
+                            $distinfo[$matches[1][$i]] = $constants[$constName].$relativePath;
+                        }
+                    } else {
+                        $this->printLog('未定義の定数が使用されています: '.$constName);
+                    }
+                } elseif (preg_match('/^([\'"])(.+?)\1$/', $value, $valMatch)) {
+                    // 'filepath' の形式 (バックアップファイル等)
+                    $literalPath = $valMatch[2];
+                    // 既知のEC-CUBEベースディレクトリ配下か検証
+                    $isValidBase = false;
+                    foreach ($constants as $base) {
+                        if (str_starts_with($literalPath, $base)) {
+                            $isValidBase = true;
+                            break;
+                        }
+                    }
+                    if ($isValidBase) {
+                        $distinfo[$matches[1][$i]] = $literalPath;
+                    } else {
+                        $this->printLog('不正なパスが検出されました: '.$literalPath);
+                    }
+                }
+            }
+        }
+
+        return $distinfo;
+    }
+
     /**
      * @param string $msg
      */
diff --git a/data/class/pages/upgrade/LC_Page_Upgrade_Download.php b/data/class/pages/upgrade/LC_Page_Upgrade_Download.php
@@ -403,6 +403,12 @@ public function registerUpdateLog($arrLog, $objRet)
      */
     public function fileExecute($productCode)
     {
+        if (!preg_match('/^[a-zA-Z0-9_-]+$/', $productCode)) {
+            GC_Utils_Ex::gfPrintLog('Invalid product code: '.str_replace(["\r", "\n"], '', $productCode));
+
+            return;
+        }
+
         $file = DATA_REALDIR.'downloads/update/'.$productCode.'_update.php';
         if (file_exists($file)) {
             @include_once $file;
diff --git a/tests/class/batch/SC_Batch_Update_parseDistInfoTest.php b/tests/class/batch/SC_Batch_Update_parseDistInfoTest.php
@@ -0,0 +1,247 @@
+<?php
+
+/**
+ * @backupGlobals disabled
+ */
+class SC_Batch_Update_parseDistInfoTest extends PHPUnit_Framework_TestCase
+{
+    /** @var SC_Batch_Update */
+    private $batch;
+
+    /** @var string */
+    private $tmpDir;
+
+    protected function setUp(): void
+    {
+        if (!defined('MODULE_REALDIR') || !defined('HTML_REALDIR') || !defined('DATA_REALDIR')) {
+            $this->markTestSkipped('EC-CUBE constants are not defined.');
+        }
+        $this->batch = new SC_Batch_Update();
+        $this->tmpDir = sys_get_temp_dir().'/sc_batch_update_test_'.uniqid();
+        mkdir($this->tmpDir, 0777, true);
+        // セキュリティテスト用のセンチネルファイルが残っていれば事前削除
+        if (file_exists('/tmp/pwned.txt')) {
+            unlink('/tmp/pwned.txt');
+        }
+    }
+
+    protected function tearDown(): void
+    {
+        // テンポラリファイルを削除 (setUp がスキップした場合は tmpDir が null のため guard が必要)
+        if ($this->tmpDir !== null && is_dir($this->tmpDir)) {
+            array_map('unlink', glob($this->tmpDir.'/*') ?: []);
+            rmdir($this->tmpDir);
+        }
+        if (file_exists('/tmp/pwned.txt')) {
+            unlink('/tmp/pwned.txt');
+        }
+    }
+
+    /**
+     * オーナーズストアが生成する distinfo.php のフォーマットをパースできること
+     */
+    public function testオーナーズストア形式の定数連結をパースできる()
+    {
+        $content = <<<'PHP'
+            <?php
+            $distinfo = array(
+            'da39a3ee5e6b4b0d3255bfef95601890afd80709' => MODULE_REALDIR . 'mdl_example/example.php',
+            'a94a8fe5ccb19ba61c4c0873d391e987982fbbd3' => MODULE_REALDIR . 'mdl_example/config.php',
+            );
+            ?>
+            PHP;
+        $path = $this->tmpDir.'/distinfo.php';
+        file_put_contents($path, $content);
+
+        $result = $this->batch->parseDistInfo($path);
+
+        $this->assertCount(2, $result);
+        $this->assertSame(
+            MODULE_REALDIR.'mdl_example/example.php',
+            $result['da39a3ee5e6b4b0d3255bfef95601890afd80709']
+        );
+        $this->assertSame(
+            MODULE_REALDIR.'mdl_example/config.php',
+            $result['a94a8fe5ccb19ba61c4c0873d391e987982fbbd3']
+        );
+    }
+
+    /**
+     * makeDistInfo() が生成するバックアップ用フォーマットをパースできること
+     */
+    public function testバックアップ形式の文字列リテラルをパースできる()
+    {
+        // makeDistInfo() が生成する形式を再現（リテラルパスはEC-CUBEベースディレクトリ配下）
+        $filePath1 = DATA_REALDIR.'class/example.php';
+        $filePath2 = HTML_REALDIR.'index.php';
+        $content = "<?php\n\$distinfo = array(\n"
+            ."'da39a3ee5e6b4b0d3255bfef95601890afd80709' => '{$filePath1}',\n"
+            ."'a94a8fe5ccb19ba61c4c0873d391e987982fbbd3' => '{$filePath2}',\n"
+            .");\n?>";
+        $path = $this->tmpDir.'/distinfo.php';
+        file_put_contents($path, $content);
+
+        $result = $this->batch->parseDistInfo($path);
+
+        $this->assertCount(2, $result);
+        $this->assertSame(
+            $filePath1,
+            $result['da39a3ee5e6b4b0d3255bfef95601890afd80709']
+        );
+        $this->assertSame(
+            $filePath2,
+            $result['a94a8fe5ccb19ba61c4c0873d391e987982fbbd3']
+        );
+    }
+
+    /**
+     * HTML_REALDIR 定数の連結をパースできること
+     */
+    public function testHTMLREALDIR定数の連結をパースできる()
+    {
+        $content = <<<'PHP'
+            <?php
+            $distinfo = array(
+            'da39a3ee5e6b4b0d3255bfef95601890afd80709' => HTML_REALDIR . 'js/example.js',
+            );
+            ?>
+            PHP;
+        $path = $this->tmpDir.'/distinfo.php';
+        file_put_contents($path, $content);
+
+        $result = $this->batch->parseDistInfo($path);
+
+        $this->assertCount(1, $result);
+        $this->assertSame(
+            HTML_REALDIR.'js/example.js',
+            $result['da39a3ee5e6b4b0d3255bfef95601890afd80709']
+        );
+    }
+
+    /**
+     * 存在しないファイルの場合は空配列を返すこと
+     */
+    public function test存在しないファイルは空配列を返す()
+    {
+        $result = $this->batch->parseDistInfo($this->tmpDir.'/nonexistent.php');
+
+        $this->assertSame([], $result);
+    }
+
+    /**
+     * 空のファイルの場合は空配列を返すこと
+     */
+    public function test空ファイルは空配列を返す()
+    {
+        $path = $this->tmpDir.'/distinfo.php';
+        file_put_contents($path, '<?php ?>');
+
+        $result = $this->batch->parseDistInfo($path);
+
+        $this->assertSame([], $result);
+    }
+
+    /**
+     * 悪意あるPHPコードを含む distinfo.php が実行されないこと
+     */
+    public function test悪意あるコードが実行されない()
+    {
+        $content = <<<'PHP'
+            <?php
+            system('echo PWNED > /tmp/pwned.txt');
+            $distinfo = array(
+            'da39a3ee5e6b4b0d3255bfef95601890afd80709' => MODULE_REALDIR . 'mdl_example/example.php',
+            );
+            ?>
+            PHP;
+        $path = $this->tmpDir.'/distinfo.php';
+        file_put_contents($path, $content);
+
+        $result = $this->batch->parseDistInfo($path);
+
+        // パースは正常に動作する
+        $this->assertCount(1, $result);
+        // 悪意あるコードは実行されていない
+        $this->assertFileDoesNotExist('/tmp/pwned.txt');
+    }
+
+    /**
+     * 未定義の定数が使用されている場合はスキップされること
+     */
+    public function test未定義の定数はスキップされる()
+    {
+        $content = <<<'PHP'
+            <?php
+            $distinfo = array(
+            'da39a3ee5e6b4b0d3255bfef95601890afd80709' => UNKNOWN_CONST . 'path/to/file.php',
+            );
+            ?>
+            PHP;
+        $path = $this->tmpDir.'/distinfo.php';
+        file_put_contents($path, $content);
+
+        $result = $this->batch->parseDistInfo($path);
+
+        $this->assertSame([], $result);
+    }
+
+    /**
+     * パストラバーサルを含む相対パスがスキップされること
+     */
+    public function testパストラバーサルを含むパスはスキップされる()
+    {
+        $content = <<<'PHP'
+            <?php
+            $distinfo = array(
+            'da39a3ee5e6b4b0d3255bfef95601890afd80709' => MODULE_REALDIR . '../../html/upload/shell.php',
+            );
+            ?>
+            PHP;
+        $path = $this->tmpDir.'/distinfo.php';
+        file_put_contents($path, $content);
+
+        $result = $this->batch->parseDistInfo($path);
+
+        $this->assertSame([], $result);
+    }
+
+    /**
+     * 絶対パスで始まる相対パスがスキップされること
+     */
+    public function test絶対パスで始まる相対パスはスキップされる()
+    {
+        $content = <<<'PHP'
+            <?php
+            $distinfo = array(
+            'da39a3ee5e6b4b0d3255bfef95601890afd80709' => MODULE_REALDIR . '/etc/passwd',
+            );
+            ?>
+            PHP;
+        $path = $this->tmpDir.'/distinfo.php';
+        file_put_contents($path, $content);
+
+        $result = $this->batch->parseDistInfo($path);
+
+        $this->assertSame([], $result);
+    }
+
+    /**
+     * リテラルパスがEC-CUBEベースディレクトリ外の場合スキップされること
+     */
+    public function testベースディレクトリ外のリテラルパスはスキップされる()
+    {
+        $content = <<<'PHP'
+            <?php
+            $distinfo = array(
+            'da39a3ee5e6b4b0d3255bfef95601890afd80709' => '/etc/passwd',
+            );
+            ?>
+            PHP;
+        $path = $this->tmpDir.'/distinfo.php';
+        file_put_contents($path, $content);
+
+        $result = $this->batch->parseDistInfo($path);
+
+        $this->assertSame([], $result);
+    }
+}
