【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性発覚と対応のお願い

CMS
このページはEC Cubeご利用の方が対象です

このページは、2021年05月12日に作成したページです。
このページに掲載しているEC Cubeの仕様・機能・操作手順は、現在リリースされている最新バージョンのEC Cubeと異なる場合がございます。

※ EC-CUBE 4.0.0~4.0.5

 

EC-CUBE4系をご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されました。

該当バージョンのEC-CUBEをご利用のお客様は、出来る限りお早目に対処をお願いいたします。

EC-CUBEを利用した弊社制作中のサイトのお客様

EC-CUBEを利用して制作中のサイトの場合は、脆弱性対応版を適応した上で制作を進めます。

 

EC-CUBEを利用した制作サイトで、納品後3か月以内の場合

無償で脆弱性対応版にアップデート致します。アップデートによる不具合確認・対応も無償対応致します。

 

EC-CUBEを利用した制作サイトで、保守サポートをご利用しているお客様

無償で脆弱性対応版にアップデート致します。アップデートによる不具合確認・対応も無償対応致します。

 

EC-CUBEクラウド版をご利用のお客様

EC-CUBEクラウドの自動アップデートをお待ちください。アップデートによる不具合確認は当社サポート範囲ではございません。お客様ご自身でご確認ください。また、アップデートによる不具合が発生した場合で、サポート期間外の場合は、別途見積となります。

 

上記以外のお客様

以下の情報を参考に、お客様ご自身でご対応ください。

弊社が代行して行う事も可能ですが、アップデートによる不具合確認・対応含めて別途見積が必要となります。

 

 

本脆弱性は、既に複数サイトでの攻撃を確認しており、緊急度が非常に高い脆弱性でございます。
該当バージョンでサイトを運営されている場合は、緊急対応のためのHotfixパッチを公開しておりますので、内容をご確認のうえ早急にご対応をお願いいたします。

 

脆弱性の詳細

クロスサイトスクリプティングの脆弱性

危険度:高

該当バージョン:EC-CUBE 4.0.0~4.0.5

詳細はこちら

 

 

修正方法について

緊急対応のためのホットフィックスパッチを以下のページにて公開しております。

パッチファイルの適用または、差分の適用にて修正されます。

本脆弱性における攻撃は既に複数サイトで確認されています。早急に修正対応をお願いいたします。

詳細はこちら

このページの関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。