スケールフリーネットワークは、各種販売促進キャンペーンの企画から
ツール・WEB制作、各種プロモーションの実施、ブランディング等々、
総合的なコミュニケーション戦略を、お客様へご提案しています。

福岡のWEB・広告戦略・ネット集客コンサルのスケールフリーネットワーク

EC-CUBEにおける脆弱性情報(2015年10月23日発表)

fb_logo
EC-CUBE脆弱性情報

先日(10月23日)、EC-CUBEの開発会社であるロックオン社から、EC-CUBEのバージョン 2.11.0 ~ 2.13.3 に関して、セキュリティ上の脆弱性があることが発表されました。
既に当社でEC-CUBE(イーシーキューブ)によりネットショップを構築頂きましたクライアント様へは、対策・対処法を含めご案内させて頂いておりますが、改めてこちらでも案内させて頂きます。

■今回脆弱性があると発表されたEC-CUBEのバージョン
EC-CUBE 2.11.0 ~ 2.13.3
■脆弱性の内容
クロスサイトリクエストフォージェリの脆弱性がある。
※クロスサイトリクエストフォージェリ(CSRF)=本来拒否すべき他サイトからのリクエストを受け取り、処理してしまう。
○想定される影響
当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、当該製品の動作するサーバ上に任意のPHPファイルを作成させられる可能性がある。結果として、サーバ上で任意のPHPコードを実行される可能性がある。
■対策方法
アップデートまたは修正ファイルを適用する。
既に開発会社であるロックオン社から、対策が行われた最新バージョン『EC-CUBE 2.13.4』がリリースされております。EC-CUBEをご利用のお客様は、可能な限りEC-CUBE 2.13.4へのアップデートをお勧めします。
EC-CUBE 2.13.4へのアップデートが困難な場合、下記対策ページを参照の上、対応下さい。
EC-CUBE公式ページ


尚、当社では、ネットショップ構築を数多く手掛けさせて頂いております。EC-CUBEでの事例もございますが、クライアント様がEC-CUBEを強く望まれるなど余程の事情がない限り、現在は、wordpress×welcartによる構築をお勧めしています。理由はこちらをご覧ください。


※記事はお役に立ちましたか。もし参考になった事あれば何かシェアして頂けると嬉しいです。 


(written by スケールフリーネットワーク)

カテゴリー: webマーケティング, セキュリティ, 通信販売 タグ: , , , , パーマリンク