オープンソースのECサイト構築システムのEC-CUBEに脆弱性が見つかり、開発元のロックオンが早急な対応を呼び掛けている。
ロックオンが開発、公開しているオープンソースのECサイト構築システム「EC-CUBE」に情報漏えいにつながる脆弱性が見つかった。同社および情報処理推進機構、JPCERTコーディネーションセンターが12月7日付けで情報を公開し、ユーザーに対応を呼び掛けた。
脆弱性は「EC-CUBE 正式版」の2.4.0 RC1〜2.4.1と「同コミュニティ版」r18068以降のバージョンに存在する。システム内の顧客情報が一般ユーザーのブラウザ上で閲覧できてしまうもので、遠隔の第三者に顧客情報が漏えいする恐れがある。
ロックオンは、脆弱性に対処するログイン確認コードと修正ファイルを公開。ログイン確認コードを「/data/class/pages/admin/customer/LC_Page_Admin_Customer_SearchCustomer.php#process」ファイルの指定位置に挿入することで、脆弱性を解決できるとしている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.