- 2015年12月4日
- その他脆弱性情報
EC-CUBE 用プラグインにSQL インジェクションの脆弱性
オープンソースのEC向けCMSとして有名な「EC-CUBE」のプラグイン「管理画面表示制御プラグイン」に脆弱性が発見されたとJVNが発表しました。
脆弱性タイプ
SQL インジェクション(エスキューエルインジェクション)
想定被害
EC-CUBEにログインした状態のユーザーによってSQL 文を実行される可能性があります。
※但し、開発者によると、データベース内の情報を取得されたり、改ざんされたりすることはないとのことです。
発見されたシステム・バージョン
管理画面表示制御プラグイン (2.13系) Ver1.0 およびそれ以前
管理画面表示制御プラグイン (2.12系) Ver2.0 およびそれ以前
対応方法
開発者の提供する情報を元に最新版へアップデートする
「管理画面表示制御プラグイン」はボクブロック株式会社が提供する管理者権限による管理画面の閲覧制限設定を行えるプラグインです。
脆弱性が確認されたバージョンでもデータの漏えいや改ざんの可能性はないとのことですが、より安全性を考えて最新版へのアップデートをお勧めします。