EC-Cube用「メルマガ管理プラグイン」にCSRF脆弱性。ECサイトへの影響と対策を解説します (CVE-2022-21179)

こんにちは。「SiteCloud」プリセールスの高瀬です。

2022年2月にEC-Cube用「メルマガ管理プラグイン」にCSRF脆弱性(CVE-2022-21179)が発表されました。

メールマガジンのテンプレート削除や送信履歴の削除を引き起こされる可能性があるもので、JNVDBでの深刻度はLow(低)となっております。

https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-000013.html

「メルマガ管理プラグイン」を利用しているEC-Cubeの管理者が細工されたサイトにアクセスした際に、意図せずにメールマガジンのテンプレート削除や送信履歴を削除されてしまう可能性があります。

脆弱性の対象となるバージョン

影響を受けるメルマガ管理プラグインのバージョンは下記の通りです。

・ver4.0.0 から 4.1.1 まで (EC-CUBE 4系向け)

・ver1.0.0 から 1.0.4 まで (EC-CUBE 3系向け)

脆弱性の対策

該当のプラグインについて、修正版がリリースされていますのでこちらにアップデートする形になります。

https://www.ec-cube.net/info/weakness/20220221/mail_magazine_plugin.php

Webサイトへの影響について

「メルマガ管理プラグイン」を利用しているEC-Cubeの管理画面に関する影響となり、表側のECサイトには直接影響しません。

管理画面を操作しているユーザーが不正なサイトにアクセスすることで、意図せずにメールマガジンのテンプレート削除や送信履歴を削除されてしまう可能性があります。

さいごに

ECサイトは利用者の個人情報や購買情報、製品情報を扱う性質上、セキュリティ情報には常に注意を払う必要があります。

弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。

サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。

コーポレートサイトをクラウドでセキュアに

SiteCloudガイドブック

「SiteCloud」の詳しい内容が分かる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • SiteCloudの主な機能
  • 導入事例
  • 導入までの流れ

関連する解決策

最新記事

タグ

詳しい資料をご覧いただけます

SiteCloudのサービス内容を記載した資料をダウンロードできます。
SiteCloudの機能や事例が分かる
無料資料ダウンロード
             

【無料診断実施中】サーバーセキュリティ診断

経験豊富なセキュリティ専門技術者が、サーバーの状況を診断して、分かりやすい診断結果と今後の対応策をご覧いただけます。

無料サーバー診断申し込み
close