- 2015年10月26日
- その他脆弱性情報
EC-CUBE に脆弱性存在
オープンソースのEC向けCMSとして有名な「EC-CUBE」に脆弱性が発見されたとJVNが公表しました。
脆弱性タイプ
クロスサイトリクエストフォージェリ(CSRF)
想定被害
EC-CUBEにログインした状態のユーザーがある細工されたページにアクセスした際に、そのユーザーのサービスのあるサーバーに任意のPHPファイルを設置され任意のPHPコードを実行される恐れがあります。
発見されたシステム・バージョン
EC-CUBE 2.11.0 から 2.13.3 まで
対応方法
開発者の提供する情報を元に最新版へアップデートするか、修正ファイルを適応する
「EC-CUBE」は株式会社ロックオンが開発・提供しているオープンソースのECサイト構築システムだ。
国内シェアNo.1とのことで、これを使ったシステムの開発やサイト構築パッケージといったビジネスを展開する企業も多数存在する。
また今回発見された脆弱性であるクロスサイトリクエストフォージェリ(CSRF)は、「リクエスト強要」とも呼ばれ、これに関する事件として2005年ごろSNSサイトのmixiでおきた「ぼくはまちちゃん」騒動が有名だ。
これは投稿者の意図とは関係なく「「ぼくはまちちゃん! こんにちはこんにちは!!」」などと書き込まれたのであった。
他にも、「Amebaなう」でも同様の被害が起きたようだ。
このような被害を起こさせぬよう、脆弱性解消した最新版へ更新することをお勧めします。