2020年1月22日、「EC-CUBE」のバージョン3系統においてセキュリティ上の脆弱性が公表されました。
これを受け、本脆弱性に対応した最新バージョンの「EC-CUBE 3.0.18」が開発元より公開されております。
3.0.17以前の「EC-CUBE 3」をご利用中のお客様におきましては脆弱性に対応済みの最新バージョン「EC-CUBE 3.0.18」へのアップデートを行ってくださいますようお願いいたします。
EC-CUBE3.0系におけるsymfony/http-foundationの脆弱性 - EC-CUBE
脆弱性を確認したバージョン EC-CUBE 3.0.0~3.0.17
脆弱性の影響 無効なHTTPメソッドのオーバーライドにより、クロスサイトスクリプティングまたはその他の攻撃が可能になります。
旧バージョンからのアップデートについて EC-CUBE公式サイトをご参照いただき、最新版へのアップデートを行ってください。 アップデートの前に必ず現データのバックアップを取得してください。 EC-CUBE本体のバージョンアップ(EC-CUBE 3.0 開発ドキュメント) - EC-CUBE
EC-CUBE 3.0.18へのアップデートの影響について 「EC-CUBE 3.0.18」にはこれまでのバージョンとの互換性がないアップデートが含まれます。そのため、プラグインを使用している場合や本体をカスタマイズしている場合に一部修正が必要となる可能性があります。詳細はEC-CUBE公式サイトをご参照ください。 「EC-CUBE 3.0.18」リリースに伴う影響につきまして - EC-CUBE
EC-CUBE 3.0.18の詳細について 詳しくは以下のEC-CUBE公式サイトをご参照ください。 「EC-CUBE 3.0.18」をリリースしました。 - EC-CUBE
その他 本脆弱性に限らず、EC-CUBEをはじめとしたプログラムをご利用のお客様は、セキュリティ上の観点から最新版へのアップデートを行い、プログラムを最新の状態に保つようご協力をお願いいたします。 このたびの脆弱性以外でも、脆弱性のあるプラグインを悪用される被害や簡易なパスワード設定を悪用される被害事例が相次いでいます。併せて対策をご検討ください。