オープンソースのEC向けCMSとして有名な「EC-CUBE」のプラグイン「割引クーポンプラグイン」に脆弱性が発見されました。

脆弱性タイプ

SQL インジェクション（エスキューエルインジェクション）

CVSS v3＝6.5

CVSS v2＝6.4

想定被害

遠隔の第三者によって、データベース内の情報を取得されたり、改ざんされたりする可能性があります。

発見されたシステム・バージョン

「割引クーポンプラグイン」Ver1.5 およびそれ以前

対応方法

開発者の情報を元に最新版へアップデートしてください。

（現在の最新版はVer1.6です）

「割引クーポンプラグイン」は株式会社シードが提供しているクーポン割引機能を搭載したプラグインです。

管理画面より簡単に商品の割引クーポンなどを発行・管理できます。

発見されたのがSQLインジェクションの脆弱性ですのでECサイトにおいては不正ログインをされたり、会員情報を搾取される恐れがあります。

（参考：総務省「事例8：SQLインジェクションでサーバの情報が・・・」）

（参考：「個人情報の宝庫 データベースを狙うテロ行為「SQLインジェクション」を知ろう。」）

ご利用の方は、バージョンを確認し、最新版へ早急に更新することを強くお勧めします。