EC-Cube用「メルマガ管理プラグイン」にCSRF脆弱性。ECサイトへの影響と対策を解説します (CVE-2022-27174)

こんにちは。「SiteCloud」プリセールスの高瀬です。

2022年5月にEC-Cube用「メルマガ管理プラグイン」にCSRF脆弱性(CVE-2022-27174)が発表されました。

当該プラグインのブログ記事やカテゴリを削除させられる可能性があるもので、CVSS v3のスコアは4.3(深刻度:警告)と発表されています。

https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-000034.html

該当プラグインを利用しているEC-Cubeの管理者が細工されたサイトにアクセスした場合、意図せずにブログ記事やカテゴリを削除されてしまう可能性があります。

脆弱性の対象となるバージョン

影響を受けるプラグインのバージョンは下記の通りです。

・Ver.1.0.1 およびそれ以前

脆弱性の対策

該当のプラグインについて、修正版がリリースされていますのでこちらにアップデートする形になります。

https://www.ec-cube.net/products/detail.php?product_id=2217

Webサイトへの影響について

「簡単ブログ for EC-CUBE4」を利用しているEC-Cubeの管理画面に関する影響となり、表側のECサイトには直接影響しません。

管理画面を操作しているユーザーが不正なサイトにアクセスすることで、意図せずにブログ記事やカテゴリを削除されてしまう可能性があるため、サイト管理しているパソコンからは特に不用意なサイトアクセスを避けるように注意が必要です。

さいごに

ECサイトは利用者の個人情報や購買情報、製品情報を扱う性質上、セキュリティ情報には常に注意を払う必要があります。

弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。

サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。

コーポレートサイトをクラウドでセキュアに

SiteCloudガイドブック

「SiteCloud」の詳しい内容が分かる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • SiteCloudの主な機能
  • 導入事例
  • 導入までの流れ

関連する解決策

最新記事

タグ

詳しい資料をご覧いただけます

    サイバーの鎧のサービス内容を記載した資料をダウンロードできます。
             

【無料診断実施中】サーバーセキュリティ診断

経験豊富なセキュリティ専門技術者が、サーバーの状況を診断して、分かりやすい診断結果と今後の対応策をご覧いただけます。

無料サーバー診断申し込み
close