EC-Cube用「メルマガ管理プラグイン」にCSRF脆弱性。ECサイトへの影響と対策を解説します (CVE-2022-27174)

こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。

2022年5月にEC-Cube用「メルマガ管理プラグイン」にCSRF脆弱性(CVE-2022-27174)が発表されました。

当該プラグインのブログ記事やカテゴリを削除させられる可能性があるもので、CVSS v3のスコアは4.3(深刻度:警告)と発表されています。

https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-000034.html

該当プラグインを利用しているEC-Cubeの管理者が細工されたサイトにアクセスした場合、意図せずにブログ記事やカテゴリを削除されてしまう可能性があります。

脆弱性の対象となるバージョン

影響を受けるプラグインのバージョンは下記の通りです。

・Ver.1.0.1 およびそれ以前

脆弱性の対策

該当のプラグインについて、修正版がリリースされていますのでこちらにアップデートする形になります。

https://www.ec-cube.net/products/detail.php?product_id=2217

Webサイトへの影響について

「簡単ブログ for EC-CUBE4」を利用しているEC-Cubeの管理画面に関する影響となり、表側のECサイトには直接影響しません。

管理画面を操作しているユーザーが不正なサイトにアクセスすることで、意図せずにブログ記事やカテゴリを削除されてしまう可能性があるため、サイト管理しているパソコンからは特に不用意なサイトアクセスを避けるように注意が必要です。

さいごに

ECサイトは利用者の個人情報や購買情報、製品情報を扱う性質上、セキュリティ情報には常に注意を払う必要があります。

弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。

サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。

コーポレートサイトクラウドでセキュアに

コーポレートサイトをクラウドでセキュアに クロジカガイドブック

無料ではじめるサーバー管理
クロジカガイドブック

「クロジカサーバー管理」の詳しい内容がわかる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • クロジカサーバー管理の主な機能
  • 導入事例
  • 導入までの流れ

詳しい資料をご覧いただけます

クロジカサーバー管理のサービス内容を記載した資料をダウンロードできます。
クロジカの機能や事例が分かる
資料ダウンロード