2023.08.18 通販支援
ECオープンプラットフォーム「EC-CUBE 2系」に脆弱性が判明
(株)イーシーキューブ(大阪市北区)は17日、同社が開発・提供しているECオープンプラットフォーム「EC-CUBE」(2系)について、緊急度「低」の脆弱性が1件発見されたと発表した。

▽関連記事
Instagram偽アカウントからDM→不正サイトに誘導…通販業界で被害が多発
▽関連記事
Instagram偽アカウントからDM→不正サイトに誘導…通販業界で被害が多発
攻撃難易度を踏まえて危険度「低」に設定
同社によると、EC-CUBE 2系でクロスサイトスクリプティングの脆弱性があることが判明。限定された状況でのみに攻撃が成立する脆弱性であることから、攻撃難易度を踏まえて危険度を「低」に設定した。不具合が存在するのは、EC-CUBEの「2.11.0〜2.11.5」、「2.12.0〜2.12.6」、「2.13.0〜2.13.5-p1」、「2.17.0〜2.17.2-p1」の各バージョン。
攻撃者が管理画面にログインできる場合、脆弱性を悪用して、他の管理者やサイトにアクセスした第三者のブラウザ上で、任意のスクリプトを実行させる可能性がある。現在のところ、脆弱性に関する被害の報告はないという。
3系、4系では脆弱性は見つからず
脆弱性については、修正の反映によってすぐに解決すると説明。(1)修正ファイルを適用する、(2)修正差分を確認して適用する――のどちらかの方法で対応するように求めている。修正ファイルを適用すると、スクリプトを含む文字列がサニタイズされることから、商品情報やメルマガテンプレートの登録内容にスクリプトが含まれる場合、スクリプトはサニタイズされて機能しなくなると、注意を呼びかけている。EC-CUBE3系、4系(ec-cube.co含む)については、同様の脆弱性は見つからなかった。
また、同社ではEC-CUBEを安全に利用するために、利用環境に合わせて正しくセットアップされていること、既知の脆弱性などのパッチやバージョンアップが行われていることが大切とし、注意喚起している。
▽関連記事
Instagram偽アカウントからDM→不正サイトに誘導…通販業界で被害が多発
▽関連資料
2023年最新版|クレジットカードの不正の現状【かっこ独自調査まとめ】
※「資料掲載企業アカウント」の会員情報では「通販通信ECMO会員」としてログイン出来ません。
資料DLランキング
-
1
今注目のライブコマースで変わるこれからのEC
-
2
【無料公開】食品EC「カオスマップ」2025 – 食品EC業界の最新動向
-
3
SHOPLINEがあなたのブランドを世界へ! 越境EC成功の鍵とは
-
4
ペット×ECの未来を拓く!導入事例あり!
-
5
東南アジア最大のECプラットフォーム Shopeeのサービス概要
ニュースランキング
-
1
モノタロウ、送料無料ラインの購入金額を3500円に引き上げ
-
2
【7月16日16時更新:物流配送状況】日本郵便/ヤマト運輸/佐川急便/西濃運輸/福山通運
-
3
ヤフオク!の質問機能からフィッシングサイトに誘導、ヤフーが注意喚起
-
4
エニーマインド、SNS活用による中国市場への越境EC支援を本格展開
-
5
キャッシュレス決済の満足度1位にPayPay、2位に楽天ペイ…GMOの調査
