CEOブログ

横浜で活躍するホームページ作成・開発会社アットライズの代表取締役社長(CEO)が綴る、日々の奮闘記!!

業界・技術情報

EC-CUBEの脆弱性が発覚(緊急度:高)

投稿日:

auto0087

ECサイト用オープンソース「EC-CUBE」に緊急度「高」の脆弱性

WordPressなどと並んでオープンソースとして馴染みのある「EC-CUBE」に緊急度の高い脆弱性が発覚し、提供元よりバージョンアップ版が公開されました。

開発元リリース情報:https://www.ec-cube.net/news/detail.php?news_id=258

「EC-CUBE」はショッピングバスケットなどの機能を設けたECサイトに広く使われていて、放置しておくと「ユーザーが意図せずオンラインショップで買い物をさせられたりしてしまう」こともあるようなので、早急に対処が必要です。

「クロスサイトリクエストフォージェリ(CSRF)」と呼ばれる脆弱性

脆弱性の種類は、「クロスサイトリクエストフォージェリ(CSRF)」と呼ばれる脆弱性です。
以下、IT用語辞典より抜粋

CSRFとは、Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことによって、閲覧者に意図せず別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行わせる攻撃手法。
ユーザはCSRFの仕込まれたサイトにアクセスすることによって、特定の掲示板やアンケートなどに書き込まされたり、オンラインショップで買い物をさせられたりしてしまう。ブラウザでアクセスしただけで実行されてしまうため、ユーザが閲覧前に危険が無いかを調べて回避するのは現実的には難しい。

対象となるバージョンと対処

対象となるバージョン

不具合が存在するEC-CUBEのバージョンは以下の通り。
・EC-CUBE 2.11.0~2.11.5
・EC-CUBE 2.12.0~2.12.6
・EC-CUBE 2.13.0~2.13.3

対処方法

修正版がリリースされているので、既存バージョンに応じた修正版を適用してください。
ただし、独自にカスタマイズしている場合は修正版により上書きされてしまうので、手作業による修正が必要です。

詳しくは https://www.ec-cube.net/info/weakness/201510_01/を参照してください。

放置しておくと危険なので、速やかに対処しましょう。

-業界・技術情報
-,


  1. はらさん より:

    EC-「C」UBEですね

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

今日の朝礼:2012/07/31(金)「ソーシャルメディアとスマフォの電話帳管理」(前編)

今朝の朝礼の話題は、最近急速に利用者が増えつつあるサービス「LINE」と、「Facebook」で経験したちょっと奇妙な現象について。 ナゾのつぶやき… まずは「LINE」での出来事。 仕事 …

no image

朝礼スピーチ 11/12(水):ケータイ電話事情

今朝の朝礼スピーチは、ケータイの話題。(朝礼でケータイネタは定番になってきた感あり。。w) 10月の携帯各社の契約状況が発表された。 これによると純増数で ソフトバンクが1年半連続で首位!! そして2 …

国際ロボット展に行ってきた

国内外の最新ロボット技術、AI等が出展 11/29(水)~12/2(土)まで東京ビッグサイトで開催された「2017国際ロボット展」に行ってきた。 こういった展示会では珍しく土曜日までの開催で、、土曜日 …

Webサイトには魂が宿る!

作り手の情熱が反映される Web業界で仕事をしてきて15年以上。数々のWebサイト構築に携わってきて感じるのが、Webサイトには魂が宿るということ。     ※出典:拙著「Webサイト制作・運営に役立 …

「Windows XPのサポートが来年で終了」することへの対応について

XP、終了。 来年 2014年4月9日(日本時間)で、Windows XPのサポートを終了する、と マイクロソフトが発表しました。(詳しくは > こちら ) この件で、最近いろいろな方から「Windo …