EC-CUBE脆弱性情報
11月13日にEC-CUBEの開発会社であるロックオン社から、EC-CUBEのバージョン 2.11.0 ~ 2.13.4 に関して、セキュリティ上の問題点=脆弱性があることが発表されました。
当社では当社においてEC-CUBE(イーシーキューブ)によりネットショップを構築頂きましたクライアント様へは、既に対策・対処法を含めご案内させて頂いておりますが、改めてこちらでも案内させて頂きます。
■今回脆弱性があると発表されたEC-CUBEのバージョン
EC-CUBE 2.11.0 ~ 2.13.4
■脆弱性の内容
クロスサイトリクエストフォージェリの脆弱性が存在する。
※クロスサイトリクエストフォージェリ(CSRF)=本来拒否すべき他サイトからのリクエストを受け取り、処理してしまう。
○想定される影響
当該製品のユーザが、細工されたページにアクセスした場合、サーバ上で任意の PHP コードを実行される可能性があります。
■対策方法
アップデートまたは修正ファイルを適用する。
既に開発会社であるロックオン社から、対策が行われた最新バージョン『EC-CUBE 2.13.5』がリリースされております。EC-CUBEをご利用のお客様は、可能な限りEC-CUBE 2.13.5へのアップデートをお勧めします。
EC-CUBE 2.13.5へのアップデートが困難な場合、下記対策ページを参照の上、対応下さい。
○EC-CUBE公式ページ
※アップデートや脆弱性への対策を行われる場合は、必ず各種データのバックアップをお勧めします。
尚、当社では、ネットショップ・通販サイト構築を数多く手掛けさせて頂いております。EC-CUBEでの事例もございますが、クライアント様がEC-CUBEを強く望まれるなど余程の事情がない限り、最近は、wordpress×welcartによる構築をお勧めしています。理由はこちらをご覧ください。
※記事はお役に立ちましたか。もし参考になった事あれば何かシェアして頂けると嬉しいです。
(written by スケールフリーネットワーク)
