Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「EC-CUBE」が5件の脆弱性を修正 - 危険度「高」の脆弱性2件含む

ショッピングサイトを構築できるオープンソースソフトウェア「EC-CUBE」に、5件の脆弱性が含まれていることがわかった。開発元より修正ファイルが公開されている。

危険度が高いとされるディレクトリトラバーサルの脆弱性「CVE-2013-3654」や、コードインジェクションの脆弱性「CVE-2013-3651」などを含む5件の脆弱性が判明し、アップデートを実施したもの。

これら危険度「高」の脆弱性は、「同2.11.2」から「同2.12.4」が影響を受ける。また危険度が「中」とされる脆弱性2件のうち、クロスサイトスクリプティングの脆弱性「CVE-2013-3653」は、すべてのバージョンに含まれているという。

開発元のロックオンによれば、脆弱性による被害は確認されていないという。同社では最新版となる「EC-CUBE 2.12.5」を公開。既存利用者は、脆弱性が含まれるファイルの上書き、あるいはソースコードの修正により脆弱性を解消することが可能であるとして、対応を呼びかけている。

(Security NEXT - 2013/06/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

業務支援ツール「Confluence」にあらたな脆弱性 - 既知脆弱性の悪用被害も
ゼロデイ攻撃への悪用目立つ「権限昇格の脆弱性」
複数「VPNアプリ」に「Cookie」窃取されるおそれ - 一部ベンダーは反論
研究者が最新版IEの脆弱性を指摘 - 修正予定なく、実証コードが公開へ
Oracle、四半期定例アップデートを公開 - 脆弱性297件を修正
「Java SE」最新版がリリース - 5件の脆弱性に対応
Windows向け「Apache Tomcat」にリモートよりコード実行のおそれ
「VMware ESXi」などに3件の脆弱性 - アップデートがリリース
最新Wi-Fiセキュ規格「WPA3」に脆弱性「Dragonblood」 - 今後さらなる脆弱性が公表予定
Intel、複数製品向けに脆弱性を修正するアップデート