ニュース

【重要】EC-CUBE 4系、及び公式プラグインにおける脆弱性のお知らせ(2024/07/29)

この度、EC-CUBE 4系、及びEC-CUBE公式プラグインに関して緊急度「低」の脆弱性が発見されましたのでご報告いたします。

EC-CUBE4系の脆弱性は最新版(4.3.0)にて修正しております。
公式プラグインの脆弱性は最新版へのアップデートで修正されます。

該当バージョンを利用してサイトを運営されている場合は、内容をご確認のうえご対応をお願いいたします。

なお、クラウド版「EC-CUBE」であるec-cube.co では、すでに修正しておりますので安心してご利用ください。

参考: ご利用中のEC-CUBEのバージョンを確認する方法



EC-CUBE 4系におけるプラグインインストール時の入力値チェック不備の脆弱性


脆弱性の詳細


危険度:
低 (管理画面にログインできることが攻撃成立の前提であるため)

不具合が存在するEC-CUBEのバージョン:
4.0.0〜4.0.6-p4
4.1.0〜4.1.2-p3
4.2.0~4.2.3

修正について


詳しくは詳細ページをご確認ください。



EC-CUBE公式プラグイン「EC-CUBE Web API プラグイン」におけるクロスサイトスクリプティングの脆弱性


脆弱性の詳細


危険度:
低 (管理画面にログインできることが攻撃成立の前提であるため)

不具合が存在する「EC-CUBE Web API プラグイン」のバージョン:
1.0.0、2.1.0〜2.1.3 (EC-CUBE 4.0系/4.1系対応)
4.2.0〜4.2.3 (EC-CUBE 4.2系対応)



修正について


詳しくは詳細ページをご確認ください。



セキュリティに関する注意喚起


セキュリティ対策についてEC-CUBEを安全にご利用いただくためには、ご利用の環境にあわせて正しくセットアップされていること、既知の脆弱性などのパッチやバージョンアップがされていることが大切です。

以下特集ページにて、セキュリティ対策についてまとめております。
この機会にあらためてご確認をお願いいたします。

https://www.ec-cube.net/info/security/

EC-CUBE公式アドバイザー
ご相談窓口

  • 他社のASPやパッケージとの違いを知りたい
  • BtoCのサイトにBtoB機能を追加したい
  • 何から手をつければよいかわからない
  • オープンソースならではの注意事項を知りたい
  • 自社にマッチした制作会社を探したい
  • サイト制作だけでなく運営もサポートしてほしい

新規構築・リニューアル・取引先向けのWeb受発注システム(BtoB)や事業の拡大など、
今抱えている課題を解決する最適な業者探しを、アドバイザーがお手伝いします。