2011年05月13日
EC-CUBEの脆弱性
EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性( http://jvn.jp/jp/JVN37878530/index.html )が公開されました。
対象となるバージョンはEC-CUBE 正式版 2.11.0 (2011年3月23日公開) より前のバージョンです。
想定される影響は
管理者が、EC-CUBE にログインした状態で悪意あるページを読み込んだ場合、当該製品で管理している情報を改ざんされる可能性があります。
とのことです。
対象となるバージョンはEC-CUBE 正式版 2.11.0 (2011年3月23日公開) より前のバージョンです。
想定される影響は
管理者が、EC-CUBE にログインした状態で悪意あるページを読み込んだ場合、当該製品で管理している情報を改ざんされる可能性があります。
とのことです。
想定される影響を見ながら、この脆弱性は管理者が基本的なことを守れば回避できると少し安心しました。
1.ログイン中の他サイトの閲覧の禁止
2.作業後は必ずログアウト
まぁ、顧客情報を扱う上で基本中の基本ですが、慣れてくるとついつい他のことをやってしまったりしますので、是非今一度社内管理の徹底をお願いしたいと思います。
EC-CUBEは、株式会社ロックオンが提供するオープンソースのショッピングサイト構築システム。
痒いところに手が届く、日々進化する素晴らしいシステムです。
現在の最新バージョンは 2.11(2011年3月リリース)。
前バージョンの EC-CUBE 2.4.4 に比べ最大60倍の高速化され、スマートフォン対応やダウンロード販売機能やデータベース管理機能やGoogleマップの貼り付け機能など、約150にも及ぶ細かな機能が追加。
ノウハウものの情報商材が増える中、ダウンロードコンテンツの販売も可能となり、1回の購入に対して複数の配送先を指定できるようになりました。
レンタルショッピングカートと違い、脆弱性が発見された際、パッチをあてたりしなければいけませんが、ランニングコストはとても安くすみます。
(ちなみに、EC-CUBE のASP版もあります。 4,400円/月~ と少々お高い気もしますが、脆弱性の心配をせずに運用できるので使う方もいらっしゃるのでしょうね。)
久しぶりにEC-CUBEのサイト見ていたら、最新バージョンを構築したくなってきました。
テンプレートがとっても沢山あって、面倒だけど・・・ややこしいけど・・・それがオモシロイ!
1.ログイン中の他サイトの閲覧の禁止
2.作業後は必ずログアウト
まぁ、顧客情報を扱う上で基本中の基本ですが、慣れてくるとついつい他のことをやってしまったりしますので、是非今一度社内管理の徹底をお願いしたいと思います。
EC-CUBEは、株式会社ロックオンが提供するオープンソースのショッピングサイト構築システム。
痒いところに手が届く、日々進化する素晴らしいシステムです。
現在の最新バージョンは 2.11(2011年3月リリース)。
前バージョンの EC-CUBE 2.4.4 に比べ最大60倍の高速化され、スマートフォン対応やダウンロード販売機能やデータベース管理機能やGoogleマップの貼り付け機能など、約150にも及ぶ細かな機能が追加。
ノウハウものの情報商材が増える中、ダウンロードコンテンツの販売も可能となり、1回の購入に対して複数の配送先を指定できるようになりました。
レンタルショッピングカートと違い、脆弱性が発見された際、パッチをあてたりしなければいけませんが、ランニングコストはとても安くすみます。
(ちなみに、EC-CUBE のASP版もあります。 4,400円/月~ と少々お高い気もしますが、脆弱性の心配をせずに運用できるので使う方もいらっしゃるのでしょうね。)
久しぶりにEC-CUBEのサイト見ていたら、最新バージョンを構築したくなってきました。
テンプレートがとっても沢山あって、面倒だけど・・・ややこしいけど・・・それがオモシロイ!
Posted by Hatsu at 15:44