Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱性含む旧版「EC-CUBE」の利用目立つ - IPAが注意喚起

オープンソースのEコマースサイト構築パッケージ「EC-CUBE」の利用サイトにおいて、脆弱性が含まれた旧バージョンがそのまま利用され続けているケースがあるとして、情報処理推進機構(IPA)が注意を呼びかけている。

開発者より脆弱性を解消したバージョンが提供されているにもかかわらず、サイト運営者が脆弱性を含んだバージョンをそのまま利用しているケースが報告されており、同機構に対する届け出が増加しているという。

2008年11月に公表された「郵便番号自動入力処理におけるクロスサイトスクリプティングの脆弱性」については、解消されていないケースが6月末までに49件報告された。

同時期に個人情報の漏洩につながる可能性もあるSQLインジェクションなど複数の脆弱性も判明し、対策が実施された経緯があり、こうした不具合を含んだままとなっている可能性もある。

同機構では、旧バージョンの利用が実被害につながるケースが多いと指摘し、ウェブサイト運営者に対してソフトウェアの脆弱性対策情報を定期的に収集し、対策を実施するよう呼びかけている。

EC-CUBE
http://www.ec-cube.net/

ロックオン
http://www.lockon.co.jp/

情報処理推進機構(IPA)
http://www.ipa.go.jp/

(Security NEXT - 2009/07/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

EC-CUBEに特化したセキュリティ診断サービス - HASHコンサル
「EC-CUBE」向け「割引クーポンプラグイン」にSQLiの脆弱性
「EC-CUBE」にCSRFなど複数の脆弱性 - 最新版で修正
SNSへの投稿ボタンを追加する「EC-CUBE」用プラグインにXSSの脆弱性
「EC-CUBE」向け「ヘルプ機能プラグイン」にSQLiの脆弱性
EC-CUBE向け「管理画面表示制御プラグイン」に脆弱性
「EC-CUBE」がCSRFの脆弱性を再修正 - 対応不十分で
「EC-CUBE」にCSRFの脆弱性 - アップデートが公開
「EC-CUBE」に複数の深刻な脆弱性 - 利用者情報が漏洩したり削除されるおそれ
「EC-CUBE」に複数の脆弱性、ユーザー情報漏洩のおそれも