Japan Vulnerability Notes(JVN)が、EC-CUBEの「管理画面表示制御プラグイン」に、SQLインジェクションの脆弱性が存在すると発表しています。
参考サイト:JVN#55545372:EC-CUBE 用プラグイン「管理画面表示制御プラグイン」における SQL インジェクションの脆弱性
開発元によるとデータベースの情報が取得されたり、改竄されたりすることはないとのことですが、「管理画面表示制御プラグイン」を利用しているサイト様は最新版へアップデートすることをお勧め致します。
EC-CUBEには有料・無料問わず、たくさんのプラグインがあり、EC-CUBEに多くの機能を追加することが可能です。
ただ、今回のように脆弱性を抱えたプラグインも存在することを理解した上でご利用下さい。
(ロックオン社には、脆弱性のチェックをした上で公開するフローを築いて頂けると助かりますね。)
投稿者プロフィール
- HTMLコーディングをはじめフロントエンド開発がメイン業務。
EC-CUBE、WordPressを勉強中。
猫好き。
野良猫を見かけたら、ついつい声を掛けてしまいます。
(ペットロスが嫌なので飼わない主義)