EC-CUBEに顧客情報漏えいの脆弱性、早急な対策が必要
ロックオン(本社:大阪市)は2009年12月7日、同社が開発するオープンソースのECサイト構築ソフト「EC-CUBE」に、顧客情報漏えいのおそれがある脆弱性がみつかったと発表した。「極めて緊急度の高い深刻な脆弱性」で、早急に修正を適用するよう求めている。
発見された脆弱性は、購入履歴のある一般ユーザーがWebブラウザから特定のURLを入力すると、ECサイト顧客の氏名および電話番号のリストが表示されてしまうというもの。住所やクレジットカード番号は表示されない。
対象となるのはEC-CUBE 2.4系バージョンで、2.3以前は対策不要。同社によると、EC-CUBEを採用したECサイトは約6000あり、うち約2000サイトに脆弱性の影響があるという。
対策については「/data/class/pages/admin/customer/LC_Page_Admin_Customer_SearchCustomer.php」ファイルの該当ソースコードを修正する必要がある。ロックオンは、該当ソースコードの修正ファイルと修正適用済みの最新版「EC-CUBE 2.4.2」を同日公開した。
この脆弱性は11月27日に判明していたが、情報公開による個人情報流出の可能性を考慮し、段階的に情報公開を行ってきた。同社のパートナー企業のサービスについては、すでに対策が進められているという。
EC-CUBE
http://www.ec-cube.net/
ロックオン
http://www.lockon.co.jp/