「EC-CUBE」を利用しているウェブサイトへの注意喚起(複数の脆弱性あり)
文書番号:365 文書種類:お知らせ 公開日:2013-05-28
- RIS会員の皆様へ -
いつもお世話になっております。こちらはリウコム・インターネット・サービスです。平素よりRISサービスをご利用いただき、 誠にありがとうございます。
JVN(*1)より「EC-CUBE」における複数の脆弱性情報が掲載されてましたので、皆様にご案内させていただきます。
(*1)JVNとは、JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営する脆弱性対策情報ポータルサイトです。
※ECサイト構築パッケージ「EC-CUBE」は、株式会社ロックオン社が開発したオープンソースのECサイト構築パッケージです。
概要
「EC-CUBE」には、下記にあげる複数の脆弱性が存在します。
- EC-CUBE には、パラメータの出力処理に問題があり、クロスサイトスクリプティングの脆弱性が存在します。(JVN#52552792)
- EC-CUBE には、セッション固定の脆弱性が存在します。遠隔の第三者によって、ユーザになりすまされる可能性があります。(JVN#00985872)
- EC-CUBE には、特定の環境における URL の解析処理に問題があり、アクセス制限不備の脆弱性が存在します。(JVN#45306814)
- EC-CUBE には、不適切な入力確認に起因する情報漏えいの脆弱性が存在します。(JVN#39699406)
対象
最新版を除く、EC-CUBE 2.11.0 以降のバージョン (2011年3月23日公開~)
対策
開発者が提供する情報をもとに最新版へアップデートしてください。
※詳細は、JVNの下記サイトををご覧ください。
- EC-CUBE におけるクロスサイトスクリプティングの脆弱性
- EC-CUBE におけるセッション固定の脆弱性
- EC-CUBE におけるアクセス制限不備の脆弱性
- EC-CUBE における不適切な入力確認に起因する情報漏えいの脆弱性
掲載内容に関して、ご不明な点がございましたら[弊社サポート窓口]までお問合せ下さい。
