【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性発覚と対応のお願い

各位

2021年5月7日にEC-CUBEを運営する(株)イーシーキューブより、脆弱性に関するお知らせが届きました。EC-CUBE4を使用してECサイトを構築している事業者、制作会社の皆さまは必ず確認し、脆弱性対応するようお願いします。

脆弱性の詳細
1.クロスサイトスクリプティングの脆弱性

危険度:高
該当バージョン:EC-CUBE 4.0.0〜4.0.5

https://www.ec-cube.net/info/weakness/20210507/

2.修正方法について

緊急対応のためのホットフィックスパッチを以下のページにて公開しております。
パッチファイルの適用または、差分の適用をしていただき、キャッシュ削除にて修正作業は完了いたします。(キャッシュ削除を忘れずにお願いいたします。)
本脆弱性における攻撃は既に複数サイトで確認されています。早急に修正対応をお願いいたします。

https://www.ec-cube.net/info/weakness/20210507/

※クラウド版ec-cube.coでは2021/5/7時点でHotfixパッチの適用は完了しております。

修正方法に関して不明な点がある場合、各自で修正することが難しい場合は当社にお問い合わせください。

3.攻撃された可能性の確認方法ついて

パッチ適用修正実施後、以下リンク先を参照して既に攻撃されていないかの確認をお願いいたします。
https://www.ec-cube.net/info/weakness/20210507/#check

既に攻撃された形跡が確認された場合は、早急にサイトを停止しシステム担当者やセキュリティの専門企業にご相談くださいませ。また、クレジットカード決済を扱われている場合は、クレジットカード会社や決済代行会社にもご報告をお願いします。

攻撃の形跡が確認された場合でもサイト改ざんや情報漏洩等の実被害が発生しているとは限りませんが、今後の被害を発生させないためにもご理解をお願いいたします。

セキュリティ専門企業紹介
・EGセキュアソリューションズ:https://www.eg-secure.co.jp/
・SHIFT SECURITY:https://www.shiftsecurity.jp/