2023.08.18 通販支援
ECオープンプラットフォーム「EC-CUBE 2系」に脆弱性が判明
目次
▽関連記事
Instagram偽アカウントからDM→不正サイトに誘導…通販業界で被害が多発
攻撃難易度を踏まえて危険度「低」に設定
同社によると、EC-CUBE 2系でクロスサイトスクリプティングの脆弱性があることが判明。限定された状況でのみに攻撃が成立する脆弱性であることから、攻撃難易度を踏まえて危険度を「低」に設定した。不具合が存在するのは、EC-CUBEの「2.11.0〜2.11.5」、「2.12.0〜2.12.6」、「2.13.0〜2.13.5-p1」、「2.17.0〜2.17.2-p1」の各バージョン。
攻撃者が管理画面にログインできる場合、脆弱性を悪用して、他の管理者やサイトにアクセスした第三者のブラウザ上で、任意のスクリプトを実行させる可能性がある。現在のところ、脆弱性に関する被害の報告はないという。
3系、4系では脆弱性は見つからず
脆弱性については、修正の反映によってすぐに解決すると説明。(1)修正ファイルを適用する、(2)修正差分を確認して適用する――のどちらかの方法で対応するように求めている。修正ファイルを適用すると、スクリプトを含む文字列がサニタイズされることから、商品情報やメルマガテンプレートの登録内容にスクリプトが含まれる場合、スクリプトはサニタイズされて機能しなくなると、注意を呼びかけている。EC-CUBE3系、4系(ec-cube.co含む)については、同様の脆弱性は見つからなかった。
また、同社ではEC-CUBEを安全に利用するために、利用環境に合わせて正しくセットアップされていること、既知の脆弱性などのパッチやバージョンアップが行われていることが大切とし、注意喚起している。
▽関連記事
Instagram偽アカウントからDM→不正サイトに誘導…通販業界で被害が多発
▽関連資料
2023年最新版|クレジットカードの不正の現状【かっこ独自調査まとめ】
この続きは、通販通信ECMO会員の方のみお読みいただけます。(登録無料)
※「資料掲載企業アカウント」の会員情報では「通販通信ECMO会員」としてログイン出来ません。
※この続きは、通販通信ECMO(エクモ)会員の方のみお読みいただけます(登録無料)。
旧「通販通信」サイトの会員情報及び「資料掲載企業アカウント」の会員情報では「通販通信ECMO(エクモ)会員」としてログインできません。
旧「ECマッチング」サイトの「ECマッチング会員(ECサイト運営者)」につきましては、そのまま「通販通信ECMO(エクモ)会員」としてご利用いただけます。
関連ニュース
-
事件・トラブル 2023.11.27
LINEヤフー、不正アクセスで約40万件の個人情報を漏えいか -
通販支援 2023.11.24
かっこ、決済サービスのROBOT PAYMENTと業務提携 -
調査・統計 2023.11.24
ブラックフライデーに便乗した偽販売サイトが急増の恐れ -
通販支援 2023.11.20
ASPICクラウドアワード2023…かっこ「O-MOT... -
通販支援 2023.11.15
「PayPay」に警告メッセージ機能、送金機能を利用し... -
行政情報 2023.11.08
フィッシング被害が多発、相談件数は上半期6112件…国... -
事件・トラブル 2023.11.08
クラウド請求書の「INVOY」で顧客情報が漏えいか…き... -
調査・統計 2023.11.01
パソコンサポート詐欺やマイナポイントのフィッシング詐欺が増加 -
通販支援 2023.10.31
「5年で年商100億円」「LTV130%アップ」…通販... -
調査・統計 2023.10.30
2022年クレカ不正利用被害額は約436億円…注文金額... -
通販支援 2023.10.26
フューチャー3Q、ITコンサルティング&サービス事業が... -
事件・トラブル 2023.10.24
モバイルファクトリーの子会社、「NauNau」で200... -
事件・トラブル 2023.10.20
山田養蜂場400万件、森永乳業34万件の顧客情報が漏え... -
事件・トラブル 2023.10.19
カシオ計算機のICT教育アプリに不正アクセス、12万件... -
事件・トラブル 2023.10.19
WOWOWも約4万人の個人情報が流出か…NTT西日本子... -
事件・トラブル 2023.10.18
化粧品通販のフォーマルクライン、18万件以上の個人情報... -
事件・トラブル 2023.10.16
リニューアル前の「NICO ONLINE SHOP」で... -
調査・統計 2023.10.13
4~6月のカード情報流出事件は5件、ECサイトからの流... -
事件・トラブル 2023.10.12
ショッピージャパン、「Shopee」かたるフィッシング... -
事件・トラブル 2023.10.12
全銀ネット障害、12日未明に復旧…ゆうちょ通帳アプリも復旧 -
事件・トラブル 2023.10.11
全銀ネットのシステム障害、いまだ復旧のメド立たず -
調査・統計 2023.10.11
生成系AI活用めぐり「経営陣と現場でギャップ」が浮き彫りに -
事件・トラブル 2023.10.02
「えきねっと」など交通系でフィッシング詐欺が増加~8月... -
行政情報 2023.09.28
マイクロソフト社を名乗るセキュリティサポート詐欺が増加 -
事件・トラブル 2023.09.28
ワコールHDの英国子会社に不正アクセス、システム障害が発生 -
事件・トラブル 2023.09.22
ECで口座振込→返金を装いQRコードで不正決済の新手口... -
調査・統計 2023.09.15
EMV3Dセキュア2.0の導入義務化、「知っている」は... -
通販支援 2023.09.14
SKIYAKIの2Qは増収増益、ECサービスが好調 -
通販支援 2023.09.14
かっこ、カード会社向け不正検知システムでトップシェアの... -
行政情報 2023.09.11
詐欺サイトで商品代を騙し取り、返金名目で二重詐欺の新手...