「EC-CUBE」バージョンアップ確認を、脆弱性放置サイトの届出増

　情報処理推進機構（IPA）は27日、「EC-CUBE」の旧バージョンを利用しているWebサイトの運営者に対し、迅速なバージョンアップを呼び掛ける注意喚起を行った。既に脆弱性を修正したバージョンが提供されているにもかかわらず、未適用のWebサイトがあるとの届出が増加しているという。

　「EC-CUBE」は、株式会社ロックオンが開発したオープンソースのECサイト構築パッケージ。2008年11月に郵便番号自動入力処理でのクロスサイトスクリプティングの脆弱性が公表されているが、この脆弱性の修正バージョンを適用していないサイトがあるとの届出が5月に18件、6月に31件の計49件あったという。「EC-CUBE」ではこのほか、別のクロスサイトスクリプティングの脆弱性や、SQLインジェクションの脆弱性についても修正がなされている。

　「EC-CUBE」は現在、バージョン2.4.1が最新版。特にバージョン1系統はすでにサポートが終了しており、バージョン2系統への更新が必要になるとしている。IPAでは、新たな脆弱性が発見される可能性もあるため、定期的に開発者の発信する情報を収集するよう呼び掛けている。