オープンソースのEコマースサイト構築パッケージ「EC-CUBE」の利用サイトにおいて、脆弱性が含まれた旧バージョンがそのまま利用され続けているケースがあるとして、情報処理推進機構(IPA)が注意を呼びかけている。
開発者より脆弱性を解消したバージョンが提供されているにもかかわらず、サイト運営者が脆弱性を含んだバージョンをそのまま利用しているケースが報告されており、同機構に対する届け出が増加しているという。
2008年11月に公表された「郵便番号自動入力処理におけるクロスサイトスクリプティングの脆弱性」については、解消されていないケースが6月末までに49件報告された。
同時期に個人情報の漏洩につながる可能性もあるSQLインジェクションなど複数の脆弱性も判明し、対策が実施された経緯があり、こうした不具合を含んだままとなっている可能性もある。
同機構では、旧バージョンの利用が実被害につながるケースが多いと指摘し、ウェブサイト運営者に対してソフトウェアの脆弱性対策情報を定期的に収集し、対策を実施するよう呼びかけている。
EC-CUBE
http://www.ec-cube.net/
ロックオン
http://www.lockon.co.jp/
情報処理推進機構(IPA)
http://www.ipa.go.jp/
(Security NEXT - 2009/07/29 )
ツイート
PR
関連記事
「EC-CUBE」にSQLインジェクションの脆弱性 - 修正版が公開
人気Eコマース構築OSS「EC-CUBE」に顧客情報漏洩の脆弱性 - 早急な対策を
「EC-CUBE」にSQLインジェクションの脆弱性 - 個人情報漏洩のおそれも
