攻撃難易度を踏まえて危険度「低」に設定

　同社によると、EC-CUBE 2系でクロスサイトスクリプティングの脆弱性があることが判明。限定された状況でのみに攻撃が成立する脆弱性であることから、攻撃難易度を踏まえて危険度を「低」に設定した。

　不具合が存在するのは、EC-CUBEの「2.11.0〜2.11.5」、「2.12.0〜2.12.6」、「2.13.0〜2.13.5-p1」、「2.17.0〜2.17.2-p1」の各バージョン。

　攻撃者が管理画面にログインできる場合、脆弱性を悪用して、他の管理者やサイトにアクセスした第三者のブラウザ上で、任意のスクリプトを実行させる可能性がある。現在のところ、脆弱性に関する被害の報告はないという。

3系、4系では脆弱性は見つからず

　脆弱性については、修正の反映によってすぐに解決すると説明。（1）修正ファイルを適用する、（2）修正差分を確認して適用する――のどちらかの方法で対応するように求めている。

　修正ファイルを適用すると、スクリプトを含む文字列がサニタイズされることから、商品情報やメルマガテンプレートの登録内容にスクリプトが含まれる場合、スクリプトはサニタイズされて機能しなくなると、注意を呼びかけている。EC-CUBE3系、4系（ec-cube.co含む）については、同様の脆弱性は見つからなかった。

　また、同社ではEC-CUBEを安全に利用するために、利用環境に合わせて正しくセットアップされていること、既知の脆弱性などのパッチやバージョンアップが行われていることが大切とし、注意喚起している。

　▽関連記事
　Instagram偽アカウントからDM→不正サイトに誘導…通販業界で被害が多発
　▽関連資料
　2023年最新版｜クレジットカードの不正の現状【かっこ独自調査まとめ】