ECサイト構築システム「EC-CUBE」に新たな脆弱性、最新版へのアップデートを

  • このエントリーをはてなブックマークに追加

 独立行政法人情報処理推進機構(IPA)は11月6日、ロックオンが提供するオープンソースのショッピングサイト構築システム「EC-CUBE」について、新たな脆弱性が発見されたと発表した。今回の脆弱性は、10月1日に公表された同製品の脆弱性とは別の問題で、先月に続く注意喚起となる。

 この脆弱性は、EC-CUBEのすべてのバージョンが対象。データベースと通信する際の処理に問題があり、SQLインジェクション攻撃を受ける可能性がある。この脆弱性が悪用されるとEC-CUBEの管理者権限が第三者に取得されてしまい、EC-CUBE上に登録されている個人情報が漏えいする可能性がある。

 ロックオンでは、この脆弱性を解消する最新バージョンを公開しており、利用者にはアップデートを呼びかけている。なお、今回の脆弱性情報は、10月27日にロックオンからIPAに届出があり、有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)が、製品開発者と調整して公表した。

  • このエントリーをはてなブックマークに追加