EC-CUBE に脆弱性存在

オープンソースのEC向けCMSとして有名な「EC-CUBE」に脆弱性が発見されたとJVNが公表しました。

 

脆弱性タイプ

クロスサイトリクエストフォージェリ(CSRF)

 

想定被害

EC-CUBEにログインした状態のユーザーがある細工されたページにアクセスした際に、そのユーザーのサービスのあるサーバーに任意のPHPファイルを設置され任意のPHPコードを実行される恐れがあります。

 

発見されたシステム・バージョン

EC-CUBE 2.11.0 から 2.13.3 まで

 

対応方法

開発者の提供する情報を元に最新版へアップデートするか、修正ファイルを適応する

 

 

 

EC-CUBE」は株式会社ロックオンが開発・提供しているオープンソースのECサイト構築システムだ。

国内シェアNo.1とのことで、これを使ったシステムの開発やサイト構築パッケージといったビジネスを展開する企業も多数存在する。

 

 

また今回発見された脆弱性であるクロスサイトリクエストフォージェリ(CSRF)は、「リクエスト強要」とも呼ばれ、これに関する事件として2005年ごろSNSサイトのmixiでおきた「ぼくはまちちゃん」騒動が有名だ。

これは投稿者の意図とは関係なく「「ぼくはまちちゃん! こんにちはこんにちは!!」」などと書き込まれたのであった。

他にも、「Amebaなう」でも同様の被害が起きたようだ。

 

このような被害を起こさせぬよう、脆弱性解消した最新版へ更新することをお勧めします。

 

【参照:JVN#97278546  EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性

【参照:EC-CUBE クロスサイトリクエストフォージェリの脆弱性

LINEで送る
Pocket

こんな記事も読まれています