JavaScript を有効にしてご利用下さい.
EC-CUBE
®
製品
すぐに始めてメンテナンスフリー
クラウド版
自社サーバーに無料インストール
ダウンロード版
機能
EC-CUBEの魅力をご紹介
選ばれる理由
充実した基本機能
機能一覧
それぞれの特徴をご紹介
決済サービス一覧
操作感や各機能をお試しください
デモサイト
導入事例
パートナーを探す
サポート
EC-CUBEに関する質問まとめ
よくあるご質問
開発者向けシステム仕様など
開発情報
さまざまなセミナーを随時開催中
イベントセミナー情報
セキュリティ
安心・安全にご利用頂くために
セキュリティ対策
脆弱性情報をご確認頂けます
脆弱性リスト
ニュース
パートナーについて
EC-CUBEでビジネス展開
パートナー制度ご紹介
ご紹介資料や技術情報など
お役立ち資料
パートナー専用ページへ
ログイン
無料体験
ストア
ニュース
EC-CUBE 2系/3系/4系 の脆弱性に関して(2023/02/28)
この度、EC-CUBE本体に関して緊急度低の脆弱性が発見されましたのでご報告いた
します。
また、EC-CUBE4系の脆弱性は最新版である4.2.1にて修正されています。
該当バージョンを利用してサイトを運営されている場合は、内容をご確認のうえご対応をお願いいたします。
なお、クラウド版「EC-CUBE」である
ec-cube.co
では、すでに修正しておりますので安心してご利用ください。
参考:
ご利用中のEC-CUBEのバージョンを確認する方法
1. EC-CUBE4系におけるクロスサイトスクリプティング
脆弱性の詳細
危険度:
低
不具合が存在するEC-CUBEのバージョン:
4.0.0〜4.0.6-p2
4.1.0〜4.1.2-p1
4.2.0
EC-CUBE4系には以下のようなクロスサイトスクリプティングの脆弱性が存在します。
修正について
詳しくは
脆弱性の詳細ページ
をご確認ください。
2. EC-CUBE3系におけるクロスサイトスクリプティング
脆弱性の詳細
危険度:
低
不具合が存在するEC-CUBEのバージョン:
3.0.0 〜 3.0.18-p5
EC-CUBE4系には以下のようなクロスサイトスクリプティングの脆弱性が存在します。
修正について
詳しくは
脆弱性の詳細ページ
をご確認ください。
3. EC-CUBE2系におけるクロスサイトスクリプティング
脆弱性の詳細
危険度:
低
不具合が存在するEC-CUBEのバージョン:
2.11.0〜2.11.5
2.12.0〜2.12.6
2.13.0〜2.13.5
2.17.0〜2.17.2
修正について
詳しくは
脆弱性の詳細ページ
をご確認ください。
セキュリティに関する注意喚起
セキュリティ対策についてEC-CUBEを安全にご利用いただくためには、ご利用の環境にあわせて正しくセットアップされていること、既知の脆弱性などのパッチやバージョンアップがされていることが大切です。
以下特集ページにて、セキュリティ対策についてまとめております。
この機会にあらためてご確認をお願いいたします。
https://www.ec-cube.net/info/security/
EC-CUBEのセキュリティへの取り組み
EC-CUBEでは、安心して運営・開発をしていただけるよう、お使いの事業者、開発者を含めたコミュニティと共に、セキュリティ向上に努めています。
12月には安全なサイト作りのための
セキュアコーディングガイド
も一部リリースしております。
EC-CUBEのセキュリティ支援に関しては以下をご確認ください。
https://www.ec-cube.net/info/security/
本脆弱性に関するよくあるお問合せ
本脆弱性に関して、よくあるお問合せを以下に記載いたします。
Q1 :
クロスサイトスクリプティングの脆弱性なのになぜ危険度が低なのですか?
A1 :
クロスサイトスクリプティングではありますが、限定された状況でのみ攻撃が成立する脆弱性です。攻撃難易度を踏まえ危険度を低に設定しています。過去も同様の攻撃難易度の場合は危険度 低としております。
します。
また、EC-CUBE4系の脆弱性は最新版である4.2.1にて修正されています。
該当バージョンを利用してサイトを運営されている場合は、内容をご確認のうえご対応をお願いいたします。
なお、クラウド版「EC-CUBE」であるec-cube.co では、すでに修正しておりますので安心してご利用ください。
参考: ご利用中のEC-CUBEのバージョンを確認する方法
1. EC-CUBE4系におけるクロスサイトスクリプティング
脆弱性の詳細
危険度:
低
不具合が存在するEC-CUBEのバージョン:
4.0.0〜4.0.6-p2
4.1.0〜4.1.2-p1
4.2.0
EC-CUBE4系には以下のようなクロスサイトスクリプティングの脆弱性が存在します。
修正について
詳しくは脆弱性の詳細ページをご確認ください。
2. EC-CUBE3系におけるクロスサイトスクリプティング
脆弱性の詳細
危険度:
低
不具合が存在するEC-CUBEのバージョン:
3.0.0 〜 3.0.18-p5
EC-CUBE4系には以下のようなクロスサイトスクリプティングの脆弱性が存在します。
修正について
詳しくは脆弱性の詳細ページをご確認ください。
3. EC-CUBE2系におけるクロスサイトスクリプティング
脆弱性の詳細
危険度:
低
不具合が存在するEC-CUBEのバージョン:
2.11.0〜2.11.5
2.12.0〜2.12.6
2.13.0〜2.13.5
2.17.0〜2.17.2
修正について
詳しくは脆弱性の詳細ページをご確認ください。
セキュリティに関する注意喚起
セキュリティ対策についてEC-CUBEを安全にご利用いただくためには、ご利用の環境にあわせて正しくセットアップされていること、既知の脆弱性などのパッチやバージョンアップがされていることが大切です。
以下特集ページにて、セキュリティ対策についてまとめております。
この機会にあらためてご確認をお願いいたします。
https://www.ec-cube.net/info/security/
EC-CUBEのセキュリティへの取り組み
EC-CUBEでは、安心して運営・開発をしていただけるよう、お使いの事業者、開発者を含めたコミュニティと共に、セキュリティ向上に努めています。
12月には安全なサイト作りのためのセキュアコーディングガイドも一部リリースしております。
EC-CUBEのセキュリティ支援に関しては以下をご確認ください。
https://www.ec-cube.net/info/security/
本脆弱性に関するよくあるお問合せ
本脆弱性に関して、よくあるお問合せを以下に記載いたします。
Q1 : クロスサイトスクリプティングの脆弱性なのになぜ危険度が低なのですか?
A1 : クロスサイトスクリプティングではありますが、限定された状況でのみ攻撃が成立する脆弱性です。攻撃難易度を踏まえ危険度を低に設定しています。過去も同様の攻撃難易度の場合は危険度 低としております。