JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は7月1日、「JVN#57942445: EC-CUBE におけるアクセス制限不備の脆弱性」において、イーシーキューブが開発するオープンソースのEC向けコンテンツ管理システム「EC-CUBE」に脆弱性が存在すると伝えた。この脆弱性を悪用されると、遠隔から攻撃者によって機微な情報を窃取されるおそれがある。
脆弱性に関する情報は次のページにまとまっている。
-
脆弱性 | ECサイト構築・リニューアルは「ECオープンプラットフォームEC-CUBE」
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- EC-CUBE 4.0.6
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- EC-CUBE4.0.6-p1
脆弱性はCVSSv3スコアが7.5であり深刻度は重要と評価されている。JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
