ニュース

「EC-CUBE」にXSS、CSRF、情報漏えいの脆弱性計6件、アップデートなど対応を

 独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は20日、オープンソースのショッピングサイト構築システム「EC-CUBE」に計6件の脆弱性が見つかったことを公表した。同システムの運用者に対して、開発者である株式会社ロックオンが提供する情報をもとに、最新版へのアップデートもしくは修正ファイルの適用を行うよう呼び掛けている。

 今回公表されたのは、クロスサイトスクリプティング(XSS)の脆弱性が2件、情報漏えいの脆弱性が3件、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が1件。影響を受けるバージョンなどの詳細は、IPAとJPCERT/CCが運営する脆弱性情報サイト「JVN(Japan Vulnerability Notes)」や、ロックオンが運営するEC-CUBEのウェブサイトで公開している。

(永沢 茂)