ニュース

【重要】EC-CUBE 2系の脆弱性を1件公開しました(2023/08/17)

この度、EC-CUBE2系に関して緊急度低の脆弱性が1件発見されましたのでご報告いたします。
なお、EC-CUBE3系、4系(ec-cube.co含む)では同様な脆弱性は見つかりませんでした。
下記、該当バージョンを利用してサイトを運営されている場合は、内容をご確認のうえご対応をお願いいたします。

参考: ご利用中のEC-CUBEのバージョンを確認する方法



EC-CUBE2系におけるクロスサイトスクリプティング


脆弱性の詳細


危険度:

不具合が存在するEC-CUBEのバージョン:
2.11.0〜2.11.5
2.12.0〜2.12.6
2.13.0〜2.13.5-p1
2.17.0〜2.17.2-p1


修正について


詳しくは脆弱性の詳細ページをご確認ください。




セキュリティに関する注意喚起


セキュリティ対策についてEC-CUBEを安全にご利用いただくためには、ご利用の環境にあわせて正しくセットアップされていること、既知の脆弱性などのパッチやバージョンアップがされていることが大切です。

以下特集ページにて、セキュリティ対策についてまとめております。
この機会にあらためてご確認をお願いいたします。

https://www.ec-cube.net/info/security/



本脆弱性に関するよくあるお問合せ


本脆弱性に関して、よくあるお問合せを以下に記載いたします。

Q: クロスサイトスクリプティングの脆弱性なのになぜ危険度が低なのですか?
A: クロスサイトスクリプティングではありますが、限定された状況でのみ攻撃が成立する脆弱性です。攻撃難易度を踏まえ危険度を低に設定しています。過去も同様の攻撃難易度の場合は危険度 低としております。

EC-CUBE公式アドバイザー
ご相談窓口

  • 他社のASPやパッケージとの違いを知りたい
  • BtoCのサイトにBtoB機能を追加したい
  • 何から手をつければよいかわからない
  • オープンソースならではの注意事項を知りたい
  • 自社にマッチした制作会社を探したい
  • サイト制作だけでなく運営もサポートしてほしい

新規構築・リニューアル・取引先向けのWeb受発注システム(BtoB)や事業の拡大など、
今抱えている課題を解決する最適な業者探しを、アドバイザーがお手伝いします。