- 2016年7月22日
- その他脆弱性情報
EC-CUBE 用プラグイン「割引クーポンプラグイン」に脆弱性
オープンソースのEC向けCMSとして有名な「EC-CUBE」のプラグイン「割引クーポンプラグイン」に脆弱性が発見されました。
脆弱性タイプ
SQL インジェクション(エスキューエルインジェクション)
CVSS v3=6.5
CVSS v2=6.4
想定被害
遠隔の第三者によって、データベース内の情報を取得されたり、改ざんされたりする可能性があります。
発見されたシステム・バージョン
「割引クーポンプラグイン」Ver1.5 およびそれ以前
対応方法
開発者の情報を元に最新版へアップデートしてください。
(現在の最新版はVer1.6です)
「割引クーポンプラグイン」は株式会社シードが提供しているクーポン割引機能を搭載したプラグインです。
管理画面より簡単に商品の割引クーポンなどを発行・管理できます。
発見されたのがSQLインジェクションの脆弱性ですのでECサイトにおいては不正ログインをされたり、会員情報を搾取される恐れがあります。
(参考:総務省「事例8:SQLインジェクションでサーバの情報が・・・」)
(参考:「個人情報の宝庫 データベースを狙うテロ行為「SQLインジェクション」を知ろう。」)
ご利用の方は、バージョンを確認し、最新版へ早急に更新することを強くお勧めします。