EC-CUBE 用プラグイン「割引クーポンプラグイン」に脆弱性

オープンソースのEC向けCMSとして有名な「EC-CUBE」のプラグイン「割引クーポンプラグイン」に脆弱性が発見されました。

 

脆弱性タイプ

SQL インジェクション(エスキューエルインジェクション)

CVSS v3=6.5

CVSS v2=6.4

 

想定被害

遠隔の第三者によって、データベース内の情報を取得されたり、改ざんされたりする可能性があります。

 

発見されたシステム・バージョン

「割引クーポンプラグイン」Ver1.5 およびそれ以前

 

対応方法

開発者の情報を元に最新版へアップデートしてください。

(現在の最新版はVer1.6です)

 

「割引クーポンプラグイン」は株式会社シードが提供しているクーポン割引機能を搭載したプラグインです。

管理画面より簡単に商品の割引クーポンなどを発行・管理できます。

 

 

発見されたのがSQLインジェクションの脆弱性ですのでECサイトにおいては不正ログインをされたり、会員情報を搾取される恐れがあります。

(参考:総務省「事例8:SQLインジェクションでサーバの情報が・・・」)

(参考:「個人情報の宝庫 データベースを狙うテロ行為「SQLインジェクション」を知ろう。」)

 

ご利用の方は、バージョンを確認し、最新版へ早急に更新することを強くお勧めします。

LINEで送る
Pocket

こんな記事も読まれています