CEOブログ

横浜で活躍するホームページ作成・開発会社アットライズの代表取締役社長(CEO)が綴る、日々の奮闘記!!

業界・技術情報

EC-CUBEの脆弱性が発覚(緊急度:高)

投稿日:

auto0087

ECサイト用オープンソース「EC-CUBE」に緊急度「高」の脆弱性

WordPressなどと並んでオープンソースとして馴染みのある「EC-CUBE」に緊急度の高い脆弱性が発覚し、提供元よりバージョンアップ版が公開されました。

開発元リリース情報:https://www.ec-cube.net/news/detail.php?news_id=258

「EC-CUBE」はショッピングバスケットなどの機能を設けたECサイトに広く使われていて、放置しておくと「ユーザーが意図せずオンラインショップで買い物をさせられたりしてしまう」こともあるようなので、早急に対処が必要です。

「クロスサイトリクエストフォージェリ(CSRF)」と呼ばれる脆弱性

脆弱性の種類は、「クロスサイトリクエストフォージェリ(CSRF)」と呼ばれる脆弱性です。
以下、IT用語辞典より抜粋

CSRFとは、Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことによって、閲覧者に意図せず別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行わせる攻撃手法。
ユーザはCSRFの仕込まれたサイトにアクセスすることによって、特定の掲示板やアンケートなどに書き込まされたり、オンラインショップで買い物をさせられたりしてしまう。ブラウザでアクセスしただけで実行されてしまうため、ユーザが閲覧前に危険が無いかを調べて回避するのは現実的には難しい。

対象となるバージョンと対処

対象となるバージョン

不具合が存在するEC-CUBEのバージョンは以下の通り。
・EC-CUBE 2.11.0~2.11.5
・EC-CUBE 2.12.0~2.12.6
・EC-CUBE 2.13.0~2.13.3

対処方法

修正版がリリースされているので、既存バージョンに応じた修正版を適用してください。
ただし、独自にカスタマイズしている場合は修正版により上書きされてしまうので、手作業による修正が必要です。

詳しくは https://www.ec-cube.net/info/weakness/201510_01/を参照してください。

放置しておくと危険なので、速やかに対処しましょう。

-業界・技術情報
-,


  1. はらさん より:

    EC-「C」UBEですね

    • hattori より:

      ご指摘ありがとうございます。
      修正しました。
      お恥ずかしい。。(^^;

関連記事

no image

[SNS]Twitterに携帯からメールで投稿する方法

「つぶやき」と言うくらいだから、出先で遭遇したモロモロをつぶやきたい、、ということで、ケータイから投稿できるサービスを使ってみた。 いろいろあるようだが、、ワタシは「Twittermail」という無料 …

グーグル gmailの迷惑メールフィルターが変わった?

Gメールのフィルタリング機能 Googleの提供するメールツール「gmail」には、強力な迷惑メールフィルタリング機能があるが、どうやら そのアルゴリズム(仕様)が 2週間くらい前から変わった気がする …

常時SSL時代のSSL証明書「SNI」とは?

1つのIPアドレスで複数のSSL証明書を実装可能! 従来のSSL証明書は、基本的に1つのIPアドレスで1つのSSL証明書(1ドメイン)のみしか設定できなかった。 安価な共用サーバーでは共用SSLにする …

オンライン決済サービス「WebPay」サービス終了

4月末でサービス終了 昨年10月、ネット上のオンライン決済代行サービスである「WebPay」(運用会社:ウェブペイ株式会社)が、突然「2017年4月末でサービスを終了する」と発表した。 WebPayは …

またまた来た、、架空請求詐欺メール、今度は「債権回収の委任弁護士」だって。。

あわてず冷静に対処を このブログでも何度も書いているが、、 またまた来ました、架空請求詐欺メール。。 今度は、「登録情報サイトで、未退会のまま月額料金が発生し滞納してる」という脅し文句。 注)下記●● …