Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

脆弱性含む旧版「EC-CUBE」の利用目立つ - IPAが注意喚起

オープンソースのEコマースサイト構築パッケージ「EC-CUBE」の利用サイトにおいて、脆弱性が含まれた旧バージョンがそのまま利用され続けているケースがあるとして、情報処理推進機構(IPA)が注意を呼びかけている。

開発者より脆弱性を解消したバージョンが提供されているにもかかわらず、サイト運営者が脆弱性を含んだバージョンをそのまま利用しているケースが報告されており、同機構に対する届け出が増加しているという。

2008年11月に公表された「郵便番号自動入力処理におけるクロスサイトスクリプティングの脆弱性」については、解消されていないケースが6月末までに49件報告された。

同時期に個人情報の漏洩につながる可能性もあるSQLインジェクションなど複数の脆弱性も判明し、対策が実施された経緯があり、こうした不具合を含んだままとなっている可能性もある。

同機構では、旧バージョンの利用が実被害につながるケースが多いと指摘し、ウェブサイト運営者に対してソフトウェアの脆弱性対策情報を定期的に収集し、対策を実施するよう呼びかけている。

EC-CUBE
http://www.ec-cube.net/

ロックオン
http://www.lockon.co.jp/

情報処理推進機構(IPA)
http://www.ipa.go.jp/

(Security NEXT - 2009/07/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

「EC-CUBE」に任意のコードを実行される脆弱性 - 危険度「低」
「EC-CUBE 2」系にXSSの脆弱性 - 修正の実施を
「EC-CUBE」に複数のXSS脆弱性 - アップデートやパッチが公開
「EC-CUBE」や公式プラグインに脆弱性 - バグバウンティ契機に発見
「EC-CUBE」向けプラグイン「簡単ブログ for EC-CUBE4」に脆弱性
「EC-CUBE」向け「メルマガ管理プラグイン」に脆弱性
「EC-CUBE」に脆弱性 - 危険度は「低」
「EC-CUBE 2」系に複数の脆弱性 - アップデートが公開
EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」に脆弱性 - 利用中止を
「EC-CUBE」の一覧画面をカスタマイズするプラグインに脆弱性

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.