ロリポップ!レンタルサーバー

お知らせ

『ロリポップ!』からのお知らせです。

EC-CUBE3.0系のプラグインにおける脆弱性についてのお知らせ

いつもロリポップをご利用いただき、誠にありがとうございます。

このたび、複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起が報告されました。
該当のバージョンのEC-CUBEをご利用中の方は、以下サイトより詳細をご確認ください。

▽ JPCERTCC - 注意喚起
https://www.jpcert.or.jp/at/2021/at210028.html

対象となる製品とバージョンは次のEC-CUBE 3.0系用プラグインです。

ETUNA(CVE-2021-20735)
- 配送伝票番号プラグイン(3.0系)1.0.10およびそれ以前のバージョン
- 配送伝票番号csv一括登録プラグイン(3.0系)1.0.8およびそれ以前のバージョン
- 配送伝票番号メールプラグイン(3.0系)1.0.8およびそれ以前のバージョン

株式会社イーシーキューブ
- 帳票出力プラグイン バージョン1.0.1より前のバージョン - CVE-2021-20742
- メルマガ管理プラグイン バージョン1.0.4より前のバージョン - CVE-2021-20743
- カテゴリコンテンツプラグイン バージョン1.0.1より前のバージョン - CVE-2021-20744

株式会社イーシーキューブによると、脆弱性(CVE-2021-20742、CVE-2021-20743、CVE-2021-20744)はEC-CUBE 3.0.0から3.0.8の環境でのみ発生し、EC-CUBE 3.0.9以降では発生しないとのことです。

■ プラグインの確認方法
EC-CUBE管理画面へログイン後、『オーナーズストア』>『プラグイン』>『プラグイン一覧』にてご利用中のプラグインをご確認ください。

■ 対策方法
JPCERTCC公式サイトに記載の方法に従い、対策済みバージョンの適用を実施してください。

※ファイルの修正・バージョンアップを行う際には、必ず事前に各種データをバックアップしてください。
※脆弱性が存在する可能性を減らすため、利用していないEC-CUBEはサーバーから削除ください。

■ ロリポップのEC-CUBE簡単インストールについて
現在提供中のEC-CUBE2.17.1では、今回の脆弱性の影響はございません。
ただ、過去に提供していたEC-CUBE3.0系は対象のプラグインが利用可能な状態となりますのでご利用の場合は必ずご確認のほどよろしくお願いします。

大切なホームページへの被害を防ぐため、早急にご対応ください。

このエントリーをはてなブックマークに追加