IPAの報告によれば株式会社イーシーキューブが提供するショッピング構築システムの“EC-CUBE”に新たな脆弱性が見つかったとのこと。さらには、既に攻撃が確認されており被害が確認されているとのことだ。

今回、新たに見つかったのはクロスサイトスクリプティングの脆弱性だ。クロスサイトスクリプティングは特定のコマンドを入力することでサイト管理者と同等の行動が出来るというものだ。つまり、攻撃者によってサイトを改変させ、サイト訪問者にウイルスをダウンロードさせたり、カード情報を盗んだり様々な悪意ある行動を正式なECサイトでサイト訪問者を攻撃することが出来るというものだ。

今回、更に問題なのは既に攻撃が確認されており脆弱性が攻撃者たちに共有されている可能性があるということだ。ECサイトを運営されている方で構築システムに何を使っているかなど、詳細などをご存じの方は少ないかもしれないがEC-CUBEに関してはECサイト構築システムの大きなシェアを持っているため、サイト運営者の方は必ず確認して頂きたい。なお、修正パッチに関しては下記にて配布されているため、利用者の方は早急に対応すべきだろう。

https://www.ec-cube.net/news/detail.php?news_id=384