2021年5月のEC-CUBE4脆弱性対策とパッチ対応・アップデートについて

2021年4月にEC-CUBE4が大規模に攻撃されていることが確認され5月上旬に公式化緊急パッチがリリースされました。

現在EC-CUBE4をお使いでバージョンが4系の4.0.0から4.0.5まですべてのバージョンが対象になります。

今回の脆弱性が 緊急 で ハイリスクの脆弱性のためまだのショップ様でもし対応方法不明な場合はお問い合わせいただければ当方でも対応可能なのでお問い合わせくださいませ。

最低限パッチを直接当てるか脆弱性のパッチ対応プラグインが当てるのが必要で、
もし4.0.5 以前のEC-CUBEを使われている場合は4.0.5 p1 というパッチがあてた最新のバージョンのアップデートすることも選択肢の一つになります。

ただ今年はEC-CUBE4.1がリリースされる予定なのでそれまではパッチ対応しておき待つのもありかと思います。

攻撃されたかどうかの確認方法

攻撃されたかどうかは受注データの名前や住所の欄に通常の名前ではありえない英語の文字列
特に Script という英語の文字列がある場合、近い文字列の場合はほぼ攻撃のメールが送られているので、
もし見つけた場合は編集画面で確認後余計なボタンは押さず戻り一切今後メールも開かない、何も行動とらないことが対策になります。

攻撃された受注データがあってもなくても今後される可能性はまだありますのでパッチは当てておくということが必要になります。

公式サイトの関連情報リンク

EC-CUBE 4.0系: クロスサイトスクリプティング脆弱性 (JVN#97554111) について

【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/24 17:00 更新)(2021/05/24)