「EC-CUBE」を利用しているウェブサイトへの注意喚起(複数の脆弱性あり)
文書番号:375 文書種類:お知らせ 公開日:2013-11-21
- RIS会員の皆様へ -
いつもお世話になっております。こちらはリウコム・インターネット・サービスです。平素よりRISサービスをご利用いただき、 誠にありがとうございます。
JVN(*1)より「EC-CUBE」における複数の脆弱性情報が掲載されてましたので、皆様にご案内させていただきます。
(*1)JVNとは、JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営する脆弱性対策情報ポータルサイトです。
※ECサイト構築パッケージ「EC-CUBE」は、株式会社ロックオン社が開発したオープンソースのECサイト構築パッケージです。
概要
「EC-CUBE」には、下記にあげる複数の脆弱性が存在します。
- フロント機能の処理に問題があり、情報漏えいの脆弱性が存在します。ショッピングサイト利用者によって、他の利用者の登録情報を取得されたり、改ざんされたりする可能性があります。(JVN#55630933)
- EC-CUBE には、クロスサイトスクリプティングの脆弱性が存在します。ユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。 (JVN#06377589)
- EC-CUBE には、エラーメッセージの出力処理に問題があり、クロスサイトスクリプティングの脆弱性が存在します。ユーザのウェブブラウザ上で、任意のスクリプトが実行される可能性があります。 (JVN#38790987)
- EC-CUBE には、エラーログの出力処理に問題があり、情報漏えいの脆弱性が存在します。ショッピングサイトの運営者しか閲覧できない情報が、サイトを訪れたユーザに閲覧される可能性があります。 (JVN#61077110)
- EC-CUBE には、情報漏えいの脆弱性が存在します。細工されたリクエストを受信することで、サーバ内における当該製品の絶対パスを取得される可能性があります。 (JVN#06870202)
- EC-CUBE には、クロスサイトリクエストフォージェリの脆弱性が存在します。ユーザが、当該製品にログインした状態で細工されたページにアクセスした場合、意図しない操作をさせられる可能性があります。 (JVN#11221613)
対象
最新版を除く、EC-CUBE 2.11.0 以降のバージョン
対策
開発者が提供する情報をもとに最新版へアップデートしてください。
※詳細は、JVNの下記サイトををご覧ください。
- EC-CUBE におけるクロスサイトスクリプティングの脆弱性
- EC-CUBE における情報漏えいの脆弱性
- EC-CUBE におけるクロスサイトスクリプティングの脆弱性
- EC-CUBE における情報漏えいの脆弱性
- EC-CUBE における情報漏えいの脆弱性
- EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性
掲載内容に関して、ご不明な点がございましたら[弊社サポート窓口]までお問合せ下さい。
