- 2016年4月28日
- その他脆弱性情報
ECサイト向けCMSである「EC-CUBE」の3.0系に複数の脆弱性がっ!
オープンソースのEC向けCMSとして有名な「EC-CUBE」に脆弱性が複数存在します。
脆弱性タイプ
①クロスサイトリクエストフォージェリ(CSRF)
②管理画面のIP制限機能に関する脆弱性
③管理画面の権限管理機能に関する脆弱性
想定被害
①当該製品の管理画面にログインした状態のサイト管理者が、細工されたページにアクセスした場合、意図しない操作をさせられる可能性があります。
②遠隔の第三者によって、IP アドレスによる接続制限を回避して当該製品の管理画面へログインするためのページにアクセスされる可能性があります。
③管理画面にログイン可能なユーザによって、接続を制限された URL にアクセスされたり、接続制限の設定を削除されたりする可能性があります。
発見されたシステム・バージョン
①EC-CUBE 3.0.0 から 3.0.9 まで
②EC-CUBE 3.0.0 から 3.0.9 まで
③EC-CUBE 3.0.7 から 3.0.9 まで
対応方法
開発者によると以下の3つの方法により対策のようです。
修正方法1: EC-CUBE 3.0.10 以降にバージョンアップする
修正方法2: 修正用の差分ファイルをダウンロードして反映する
修正方法3: 修正箇所のソースコード差分を確認し必要に応じて適用する
修正方法の詳細は以下をご参照くださいませ。
https://www.ec-cube.net/info/weakness/201604/
ご利用の方は、まずバージョンの確認をお願いします。
特に、バージョン3.0.0~3.0.3をご利用の方は、その他にも今回の脆弱性よりも危険度の高いものが複数出ておりますので、早急な対策をお勧めします。