EC-CUBEが以前の脆弱性対応が不十分で再修正した

オープンソースのEC向けCMSとして有名な「EC-CUBE」に脆弱性が発見されたと当ブログで速報しましたが(ブログタイトル:EC-CUBE に脆弱性存在)その対応が不十分だったようで、再修正されております。

 

脆弱性タイプ

クロスサイトリクエストフォージェリ(CSRF)

 

想定被害

EC-CUBEにログインした状態のユーザーがある細工されたページにアクセスした際に、そのユーザーのサービスのあるサーバーに任意のPHPファイルを設置され任意のPHPコードを実行される恐れがあります。

 

発見されたシステム・バージョン

EC-CUBE 2.11.0 から 2.13.4まで

 

対応方法

開発者の提供する情報を元に最新版へアップデートするか、修正ファイルを適応する

 

前回修正時より、新たな修正版の2.13.4が追加されております。

 

ご利用の方は、ご確認頂きアップデートを推奨します。

またレンタルサーバーなどのサービスご利用の方は各事業者のお知らせをご確認下さいませ。

【参照:クロスサイトリクエストフォージェリの脆弱性

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています