Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱性含む旧版「EC-CUBE」の利用目立つ - IPAが注意喚起

オープンソースのEコマースサイト構築パッケージ「EC-CUBE」の利用サイトにおいて、脆弱性が含まれた旧バージョンがそのまま利用され続けているケースがあるとして、情報処理推進機構(IPA)が注意を呼びかけている。

開発者より脆弱性を解消したバージョンが提供されているにもかかわらず、サイト運営者が脆弱性を含んだバージョンをそのまま利用しているケースが報告されており、同機構に対する届け出が増加しているという。

2008年11月に公表された「郵便番号自動入力処理におけるクロスサイトスクリプティングの脆弱性」については、解消されていないケースが6月末までに49件報告された。

同時期に個人情報の漏洩につながる可能性もあるSQLインジェクションなど複数の脆弱性も判明し、対策が実施された経緯があり、こうした不具合を含んだままとなっている可能性もある。

同機構では、旧バージョンの利用が実被害につながるケースが多いと指摘し、ウェブサイト運営者に対してソフトウェアの脆弱性対策情報を定期的に収集し、対策を実施するよう呼びかけている。

EC-CUBE
http://www.ec-cube.net/

ロックオン
http://www.lockon.co.jp/

情報処理推進機構(IPA)
http://www.ipa.go.jp/

(Security NEXT - 2009/07/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

「EC-CUBE」向けプラグイン「簡単ブログ for EC-CUBE4」に脆弱性
「EC-CUBE」向け「メルマガ管理プラグイン」に脆弱性
「EC-CUBE」に脆弱性 - 危険度は「低」
「EC-CUBE 2」系に複数の脆弱性 - アップデートが公開
EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」に脆弱性 - 利用中止を
「EC-CUBE」の一覧画面をカスタマイズするプラグインに脆弱性
「EC-CUBE」に2件のXSS脆弱性が判明 - アップデートなど公開
「EC-CUBE 3.0」向け複数プラグインに脆弱性 - 一部はすでに悪用も
「EC-CUBE」の無償診断サービスが緊急脆弱性に対応 - 痕跡調査も
「EC-CUBE」に脆弱性、クレカ情報流出被害も - 早急に更新や攻撃有無の確認を