EC-CUBEの脆弱性が発覚（緊急度：高）

ECサイト用オープンソース「EC-CUBE」に緊急度「高」の脆弱性

WordPressなどと並んでオープンソースとして馴染みのある「EC-CUBE」に緊急度の高い脆弱性が発覚し、提供元よりバージョンアップ版が公開されました。

開発元リリース情報：https://www.ec-cube.net/news/detail.php?news_id=258

「EC-CUBE」はショッピングバスケットなどの機能を設けたECサイトに広く使われていて、放置しておくと「ユーザーが意図せずオンラインショップで買い物をさせられたりしてしまう」こともあるようなので、早急に対処が必要です。

「クロスサイトリクエストフォージェリ(CSRF)」と呼ばれる脆弱性

脆弱性の種類は、「クロスサイトリクエストフォージェリ(CSRF)」と呼ばれる脆弱性です。
以下、IT用語辞典より抜粋

CSRFとは、Webサイトにスクリプトや自動転送（HTTPリダイレクト）を仕込むことによって、閲覧者に意図せず別のWebサイト上で何らかの操作（掲示板への書き込みなど）を行わせる攻撃手法。
ユーザはCSRFの仕込まれたサイトにアクセスすることによって、特定の掲示板やアンケートなどに書き込まされたり、オンラインショップで買い物をさせられたりしてしまう。ブラウザでアクセスしただけで実行されてしまうため、ユーザが閲覧前に危険が無いかを調べて回避するのは現実的には難しい。

対象となるバージョンと対処

対象となるバージョン

不具合が存在するEC-CUBEのバージョンは以下の通り。
・EC-CUBE　2.11.0～2.11.5
・EC-CUBE　2.12.0～2.12.6
・EC-CUBE　2.13.0～2.13.3

対処方法

修正版がリリースされているので、既存バージョンに応じた修正版を適用してください。
ただし、独自にカスタマイズしている場合は修正版により上書きされてしまうので、手作業による修正が必要です。

詳しくは https://www.ec-cube.net/info/weakness/201510_01/を参照してください。

放置しておくと危険なので、速やかに対処しましょう。