ニュース

2015/11/19
EC-CUBE 2.13.4以前における脆弱性について

平素は当サービスをご利用いただき誠にありがとうございます。

オープンソースのECサイト構築システム
「EC-CUBE」の開発元である株式会社ロックオンは、
2015年11月13日、EC-CUBEのバージョン 2.11.0 〜 2.13.4 に関して、
セキュリティ上の問題(脆弱性)があることを公表しました。

当該バージョンのEC-CUBEは、
当サービスのワンクリックインストール機能でも提供しており、
ご利用のユーザー様が多数おられますため、
以下に本件の詳細をご案内いたします。


■脆弱性が存在するEC-CUBEのバージョン

-----------------------------------------
EC-CUBE 2.11.0 〜 2.13.4
-----------------------------------------


■本脆弱性の詳細

クロスサイトリクエストフォージェリ(※)の脆弱性が存在します。

※「クロスサイトリクエストフォージェリ(CSRF)」・・・
 本来拒否すべき他サイトからのリクエストを受け取り、処理すること。


◇詳細について(外部サイト)

 JVN#97278546
 EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性
 http://jvn.jp/jp/JVN97278546/index.html


■対策方法

 ▼「ワンクリックインストール」機能よりご利用いただいている場合

 ご利用のEC-CUBEのバージョンにより対応方法が異なります。
 
 お手数ですが、ご利用中のバージョンをご確認の上、
 ご対応ください。

 ・EC-CUBE バージョン 2.13.0 〜 2.13.4 をご利用のお客様

  サーバー管理ツール内、
  「ワンクリックインストール」機能で提供するアップデート機能を利用することで、
  脆弱性の影響を受けない 2.13.5 にアップデートすることが可能です。

  ※アップデート前には必ず各種データのバックアップを行ってください。

 ・EC-CUBE バージョン 2.11.0 〜 2.12.6 をご利用のお客様

  本件に伴うサーバー管理ツールでのアップデート機能の提供はございません。
  
  次項の「お客様ご自身でインストールを行われている場合」を参照していただき、
  ご対応くださいますようお願いいたします。


 ▼お客様ご自身でインストールを行われている場合

 ロックオン社から、本件の対策が行われた
 最新バージョン『EC-CUBE 2.13.5』がリリースされております。
 
 EC-CUBE をご利用のお客様は、
 可能な限りEC-CUBE 2.13.5へのアップデートをご対応ください。
 
 EC-CUBE 2.13.5へのアップデートが困難な場合、
 下記ページを参照いただき、
 ご対応くださいますようお願いいたします。
 
 ◇対策方法について (EC-CUBE公式ページ)

  EC-CUBE2.13.5 正式版をリリースいたしました。1件の脆弱性対応含む不具合修正を実施。(2015/11/13)
  http://www.ec-cube.net/news/detail.php?news_id=260
 
  ※アップデートや脆弱性への対策を行われる前に、
   必ず各種データのバックアップを行ってください。


以上、大変お手数をお掛けしますが、EC-CUBEをご利用中のお客様におかれましては
必ずご確認くださいますようよろしくお願い申し上げます。

ニュース一覧に戻る