EC-CUBE 3系:クリックジャッキング脆弱性/DoSの危険性

2020年12月3日

EC-CUBE(3系)における複数の脆弱性がアナウンスされています。

1.クリックジャッキングの脆弱性

危険度:低
不具合が存在するEC-CUBEのバージョン:3.0.0~3.0.18
詳細:EC-CUBEの画面を外部サイトからフレーム内に読み込むことができます。
悪意のある第三者により用意された外部サイトへアクセスすることで、利用者が意図しない更新操作を誘導される危険性があります。

2.DoSの危険性性

危険度:低
不具合が存在するEC-CUBEのバージョン:3.0.5~3.0.18
詳細:適切な入力チェックを行っていない箇所があり、サーバーに負荷がかかり、システムエラーが発生する場合があります。

修正方法

https://www.ec-cube.net/info/weakness/20201126/

上書きするファイル:
html/.htaccess
html/web.config
.htaccess.sample
web.config.sample
src/Eccube/Service/CartService.php

※EC-CUBE本体のカスタマイズをしている場合、修正箇所の差分をご確認のうえ反映をお願いします。
※開発環境がある場合は、開発環境での反映・動作確認を行った後に、本番環境への反映をおすすめします。

EC-CUBEはアップデート通知はありませんので、ご利用の場合は必ずご確認ください。

※弊社へEC-CUBEの保守依頼されているクライアント様のサイトは既に対応済みとなります。


Recent Entries

年末年始休業期間のお知らせ
【よくあるご質問】担当者が辞めてしまったのでスポットでのホームページやECサイト改修依頼は可能ですか?
Webサイト新規制作、Webサイトリニューアルをご検討している企業様、ご担当者様へ
ECサイトをこれから開設検討している場合もGoogle Merchant Center Nextは必須。競合調査、価格帯も確認可能な無料ツール
Googleサーチコンソールインサイト レポートの使い方、そしてわかること。GA4より簡単
利用していたWordPressプラグインが開発提供終了してしまった場合の代替プラグインの選び方


CONTACT

Webサイトリニューアルから新規ホームページ制作・運営・保守まで、目的達成を実現いたします。
各種Webサイト・ECサイト制作、広告代行に関するご相談、ご質問などお気軽にお問合せ下さい。

Tel : 03-5324-2318 / Email : info@reinc.jp

各種お問合せはこちらから