EC-CUBEに顧客情報漏洩の脆弱性

発表されてしばらく経ちますが重要そうなので念のために(小野さんご連絡ありがとうございました)。

EC-CUBEはオープンソースのECサイト構築CMSとして利用が広がってきていますが、今回はそのEC-CUBEに顧客情報漏洩の惰弱性が発見されたそうです。

顧客情報漏洩の脆弱性について(2009年12月7日)

顧客情報漏洩の脆弱性について いつもEC-CUBEをご利用いただきまして、誠にありがとうございます。
株式会社ロックオンEC-CUBE開発チームです。

2009/11/27、EC-CUBE2.4系のバージョンに顧客情報漏洩の脆弱性があることが判明いたしました。
顧客情報が、一般ユーザーのブラウザ上から閲覧できる、極めて緊急度の高い深刻な脆弱性です。

本来であれば即時対策版を公開するところではございましたが、本脆弱性が公開されることにより、すでにEC-CUBEでECサイトを運営している方が、攻撃を受け個人情報の流出などに繋がる可能性を低くするために、段階的に公開を行って参りました。

脆弱性そのものは
/data/class/pages/admin/customer/LC_Page_Admin_Customer_SearchCustomer.php
というファイルの該当ソースコードの修正、または上書きにより、すぐに解決するものです。

皆様にはお手数おかけしまして誠に申し訳ございませんが、対策を早急に講じて頂きますよう、どうかよろしくお願い申し上げます。

FAQ

Q. 私のサイトは大丈夫か?
A. まずは対象バージョンをお確かめ下さい。2.3以下のバージョンの場合は対策不要です。
2.4系の場合、対象ファイルに変更後に記載されている認証判定が記入されているかご確認下さい。
オフィシャルホスティングパートナーをご利用の場合・インテグレートパートナーが構築した場合、既に対策されている場合がございます。

書いてあるように、修正自体は簡単なようです。また、EC-CUBEのバージョンが2.3以下の場合は対策の必要は無いそうです。自分のクライアントも確認してみましたが、バージョン2.3以下だったのでひとまずこれについては問題ないようです。

コメントを残す

メールアドレスが公開されることはありません。