2024年に公開されている「クロスサイトスクリプティングの脆弱性(JVN#48324254)」について解説します。
この脆弱性は4.0、4.1、4.2の全バージョンが対象です。
本脆弱性の概要
EC-CUBEの管理画面にログインできる方が悪意を持って行動するか、あるいは第3者に行動を操作されることによって、EC-CUBEに対して任意のPHPパッケージをダウンロード可能となるという脆弱性です。
脆弱性修正の難易度について
それほど難しくありません。
この脆弱性は未カスタマイズ状態のEC-CUBEであれば、修正方法は該当箇所のControllerファイル修正とキャッシュクリアのみです。
EC-CUBEに関するお問い合わせ
[重要]現在公式にセキュリティサポートが切れていないPHPは8.1以上、MySQLは8.0以上で、対応しているEC-CUBEバージョンは4.2以上です。古いEC-CUBEを使っている方は適切なタイミングでバージョンアップをご検討ください。