「EC-CUBE」にXSS、CSRF、情報漏えいの脆弱性計6件、アップデートなど対応を

　独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は20日、オープンソースのショッピングサイト構築システム「EC-CUBE」に計6件の脆弱性が見つかったことを公表した。同システムの運用者に対して、開発者である株式会社ロックオンが提供する情報をもとに、最新版へのアップデートもしくは修正ファイルの適用を行うよう呼び掛けている。

　今回公表されたのは、クロスサイトスクリプティング（XSS）の脆弱性が2件、情報漏えいの脆弱性が3件、クロスサイトリクエストフォージェリ（CSRF）の脆弱性が1件。影響を受けるバージョンなどの詳細は、IPAとJPCERT/CCが運営する脆弱性情報サイト「JVN（Japan Vulnerability Notes）」や、ロックオンが運営するEC-CUBEのウェブサイトで公開している。