EC-CUBEの脆弱性(CVE-2021-20717)と「SiteGuardシリーズ」の対応

 2021.05.10  株式会社ジェイピー・セキュア

EC-CUBEの4.0系でクロスサイトスクリプティングの脆弱性(CVE-2021-20717)に関する情報が公開されました。

この脆弱性を悪用された場合、不正アクセスによる個人情報の窃取などにつながる恐れがあります。
すでに脆弱性を悪用した攻撃および被害が複数確認されているため、下記の情報などを参考に対策を実施することが推奨されます。

参考情報:
EC-CUBE 4.0系: クロスサイトスクリプティング脆弱性について(EC-CUBE)
https://www.ec-cube.net/info/weakness/20210507/

なお、「SiteGuardシリーズ」では、既存のトラステッド・シグネチャにより該当の脆弱性を悪用した攻撃を検出可能です。

追加情報が公開された場合は、随時対応状況を更新いたします。