EC-CUBE脆弱性情報
先日(10月23日)、EC-CUBEの開発会社であるロックオン社から、EC-CUBEのバージョン 2.11.0 ~ 2.13.3 に関して、セキュリティ上の脆弱性があることが発表されました。
既に当社でEC-CUBE(イーシーキューブ)によりネットショップを構築頂きましたクライアント様へは、対策・対処法を含めご案内させて頂いておりますが、改めてこちらでも案内させて頂きます。
■今回脆弱性があると発表されたEC-CUBEのバージョン
EC-CUBE 2.11.0 ~ 2.13.3
■脆弱性の内容
クロスサイトリクエストフォージェリの脆弱性がある。
※クロスサイトリクエストフォージェリ(CSRF)=本来拒否すべき他サイトからのリクエストを受け取り、処理してしまう。
○想定される影響
当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、当該製品の動作するサーバ上に任意のPHPファイルを作成させられる可能性がある。結果として、サーバ上で任意のPHPコードを実行される可能性がある。
■対策方法
アップデートまたは修正ファイルを適用する。
既に開発会社であるロックオン社から、対策が行われた最新バージョン『EC-CUBE 2.13.4』がリリースされております。EC-CUBEをご利用のお客様は、可能な限りEC-CUBE 2.13.4へのアップデートをお勧めします。
EC-CUBE 2.13.4へのアップデートが困難な場合、下記対策ページを参照の上、対応下さい。
○EC-CUBE公式ページ
尚、当社では、ネットショップ構築を数多く手掛けさせて頂いております。EC-CUBEでの事例もございますが、クライアント様がEC-CUBEを強く望まれるなど余程の事情がない限り、現在は、wordpress×welcartによる構築をお勧めしています。理由はこちらをご覧ください。
※記事はお役に立ちましたか。もし参考になった事あれば何かシェアして頂けると嬉しいです。
(written by スケールフリーネットワーク)
