「EC-CUBE」にオープンリダイレクトの脆弱性 - 修正版などリリース
オープンソースのeコマースシステムである「EC-CUBE」にオープンリダイレクトの脆弱性が含まれていることが明らかとなった。
「同3.0.16」から「3.0.0」までのバージョンに細工したURLにアクセスさせることで任意のウェブサイトに誘導できる「オープンリダイレクト」の脆弱性「CVE-2018-16191」が明らかとなったもの。不正サイトへ誘導する際の踏み台などに悪用されるおそれがある。
開発元のロックオンは、悪用には他脆弱性と組み合わせる必要があるとし、緊急度については「低」とレーティング。同脆弱性に関する被害の報告なども受けていないという。
同社は、周知を目的に脆弱性についてJPCERTコーディネーションセンターへ報告。同センターが調整を実施したもの。脆弱性を修正した「同3.0.17」や問題部分を修正するための差分ファイルを用意。利用者へできるだけすみやかにアップデートを実施するよう呼びかけている。
(Security NEXT - 2018/11/29 )
ツイート
PR
関連記事
「Zimbra」に複数の深刻な脆弱性 - 最新版へアップデートを
行政機関向け資産管理システム「Cityworks」に脆弱性 - すでに悪用も
特権アクセス管理製品「Symantec PAM」に深刻な脆弱性
「MS Edge」がリリース - 独自含む脆弱性10件を解消
「Defense Platform HE」に複数脆弱性 - 最新版へ更新を
Cisco、セキュリティアドバイザリ8件を公表 - 脆弱性18件に対応
「IBM Security Verify Directory Server Container」に複数の脆弱性
米当局、「7-Zip」などの脆弱性に注意喚起 - 悪用カタログに5件追加
JetBrains、1月のアップデートで脆弱性10件を解消
Linuxカーネルの脆弱性に対する攻撃が発生 - 米当局が注意喚起