EC-CUBEで公開されている脆弱性
EC-CUBEには脆弱性が発見され公開されることがあります。
オープンソースで無料使用可能、かつ高機能なプログラムという性質上避けがたいものです。
公開された脆弱性には重要度の高低はありますが、公開された以上は全て修正を行うべき と考えています。
脆弱性を放置したまま運営を行い、情報流出等の被害にあったサイトのご相談をよく伺います。
通常は脆弱性が公開されると保守管理の委託先から脆弱性についての連絡があるはずですが、保守を委託していない場合は耳に届いていない可能性があります。
脆弱性リスト対応の必要がないか可能な限り速やかに確認してください。
近年のバージョン別脆弱性リスト
| 情報公開日 | タイトル | 対象バージョン | 公表 危険度 |
修正 難易度 |
解説 | ||
| 2系 | 3系 | 4系 | |||||
| 2023-11-06 | RCE可能な脆弱性(JVN#29195731) | ○ | ○ | 低 | 高 | 解説ページ | |
| 2023-08-17 | クロスサイトスクリプティングの脆弱性(JVN#46993816) | ○ | 低 | 低 | |||
| 2023-02-28 | クロスサイトスクリプティングの脆弱性(JVN#04785663) | ○ | ○ | ○ | 低 | 低 | 解説ページ |
| 2022-09-14 | ディレクトリトラバーサルの脆弱性(JVN#21213852) | ○ | ○ | 低 | 低 | 解説ページ | |
| 2022-02-21 | HTTP Hostヘッダの処理に脆弱性 (JVN#53871926) | ○ | ○ | 低 | 中 | 解説ページ | |
| 2021-11-11 | 認可制御の不備 (JVN#75444925) | ○ | 低 | 低 | |||
| 2021-11-11 | 管理画面におけるCSRF (JVN#75444925) | ○ | 中 | 低 | |||
| 2021-06-29 | アクセス制限不備の脆弱性 | ○ | 高 | 高 | 解説ページ | ||
| 2021-06-22 | クロスサイトスクリプティングの脆弱性(JVN#95292458) | ○ | ○ | 中 | 高 | 解説ページ | |
| 2021-05-07 | クロスサイトスクリプティングの脆弱性(JVN#97554111) | ○ | 高 | 高 | 解説ページ | ||
| 2020-12-03 | クリックジャッキングの脆弱性 | ○ | 低 | 低 | |||
| 2020-12-03 | DoSの危険性 | ○ | 低 | 低 | |||
公開されているEC-CUBE脆弱性リスト
https://www.ec-cube.net/info/weakness/
脆弱性を修正しないとどうなるのか?
近年では様々なウェブサイトの攻撃方法がありますが、ECサイトとして特に問題となる情報流出が起こり得ます。
・ウェブサイトに不正プログラムを設置されたり、改ざんされることで個人情報やクレジットカード情報が流出する
・アカウントを乗っ取られる
といったことです。もちろん対策をしなければ必ず発生するかと言えばそうではありません。
また、どのようなアプリケーションでも発見されている脆弱性以外に脆弱性が存在する可能性は高く、リストの対策を全て行えば必ず防げるわけではありません。
それでも繰返しになりますが、発見・公開されている以上は対策は必須というのが基本的な考え方です。
弊社にご依頼の場合の費用感(調査無料)
EC-CUBEサイトの脆弱性未修正をなくすため、公開リスト掲載の脆弱性について無料調査を行っております。
対策が済んでいるかどうか運営者側で不明な場合もあると思いますので、管理画面にログインさせていただくなどして対策の必要があるかどうかの判断を行います。
無料調査や修正の見積りをご希望の場合、問い合わせフォームからご連絡ください。
費用感は以下のようになっておりますが、カスタマイズの状況や過去どこまで脆弱性対策が行われているかによって変動いたします。
調査:無料
修正費用: 5万円〜
EC-CUBEゴールドパートナー
EC-CUBEカスタマイズに関するお問い合わせはこちら
[重要]現在公式にセキュリティサポートが切れていないPHPは8.1以上、MySQLは8.0以上で、対応しているEC-CUBEバージョンは4.2以上です。古いEC-CUBEを使っている方は適切なタイミングでバージョンアップをご検討ください。
