よろしければこちらもご覧ください

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は5月10日、オープンソースECサイト構築パッケージ「EC-CUBE 4.0系」で、緊急度「高」の脆弱(ぜいじゃく)性が発覚したことによる注意喚起を行った。

開発元のイーシーキューブは5月7日にクロスサイトスクリプティング(Webサイトのアプリケーションの脆弱性を悪用した攻撃)の脆弱性(CVE-2021-20717)に関する情報を公開。「緊急度が非常に高い脆弱性」と注意喚起をしている。

脆弱性が悪用された場合、ECサイトの管理者のブラウザ上で任意のスクリプトが実行され、ECサイトへの不正アクセスや個人情報の搾取などが行われる可能性がある。

イーシーキューブは複数サイトでの攻撃を確認。脆弱性を悪用したクレジットカード情報の流出を確認しているという。

該当するのは「EC-CUBE」のバージョンが4.0.0~4.0.5で、利用している企業向けに、緊急対応のためのHotfixパッチを公開。早期のパッチ適用といった対応をアナウンスしている。

なお、クラウド版「ec-cube.co」は5月7日時点でHotfixパッチの適用を完了。新たにEC-CUBEをダウンロードされる場合については、Hotfixパッチを適用した最新版の「EC-CUBE 4.0.5-p1」を5月10日にリリースした。

この記事が役に立ったらシェア!
よろしければこちらもご覧ください

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
ecbeing.
[スポンサー]