2021年5月7日、ECサイト構築プログラム「EC-CUBE」のバージョン4系統においてセキュリティ上の脆弱性が公表されました。
これを受け、本脆弱性に対応した最新バージョン「EC-CUBE4.0.5-p1」が開発元より公開されております。
4.0.5以前の「EC-CUBE 4」をご利用中のお客様におきましては脆弱性に対応済みの最新バージョン(4.0.5-p1)へのアップデートを行ってくださいますようお願いいたします。
脆弱性を確認したバージョン EC-CUBE 4系統
脆弱性の影響 無効なHTTPメソッドのオーバーライドにより、クロスサイトスクリプティングまたはその他の攻撃が可能になります。 脆弱性の詳細について - JVN
旧バージョンからのアップデートについて 以下のEC-CUBE公式サイトにてホットフィックスパッチが公開されています。パッチファイルの適用または差分の適用をしていただき、キャッシュ削除にて修正作業は完了いたします。(キャッシュ削除を忘れずにお願いいたします) アップデートの前に必ず現データのバックアップを取得してください。 EC-CUBE 4.0系: クロスサイトスクリプティング脆弱性について - EC-CUBE
その他 本脆弱性に限らず、EC-CUBEをはじめとしたプログラムをご利用のお客様は、セキュリティ上の観点から最新版へのアップデートを行い、プログラムを最新の状態に保つようご協力をお願いいたします。 このたびの脆弱性以外でも、脆弱性のあるプラグインを悪用される被害や簡易なパスワード設定を悪用される被害事例が相次いでいます。併せて対策をご検討ください。