EC-Cube用「メルマガ管理プラグイン」にCSRF脆弱性。ECサイトへの影響と対策を解説します (CVE-2022-21179)

こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。

2022年2月にEC-Cube用「メルマガ管理プラグイン」にCSRF脆弱性（CVE-2022-21179）が発表されました。

メールマガジンのテンプレート削除や送信履歴の削除を引き起こされる可能性があるもので、JNVDBでの深刻度はLow(低)となっております。

「メルマガ管理プラグイン」を利用しているEC-Cubeの管理者が細工されたサイトにアクセスした際に、意図せずにメールマガジンのテンプレート削除や送信履歴を削除されてしまう可能性があります。

脆弱性の対象となるバージョン

影響を受けるメルマガ管理プラグインのバージョンは下記の通りです。

・ver4.0.0 から 4.1.1 まで (EC-CUBE 4系向け)

・ver1.0.0 から 1.0.4 まで (EC-CUBE 3系向け)

該当のプラグインについて、修正版がリリースされていますのでこちらにアップデートする形になります。

「メルマガ管理プラグイン」を利用しているEC-Cubeの管理画面に関する影響となり、表側のECサイトには直接影響しません。

管理画面を操作しているユーザーが不正なサイトにアクセスすることで、意図せずにメールマガジンのテンプレート削除や送信履歴を削除されてしまう可能性があります。

ECサイトは利用者の個人情報や購買情報、製品情報を扱う性質上、セキュリティ情報には常に注意を払う必要があります。

弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。

サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。

「クロジカサーバー管理」の詳しい内容がわかる資料をご用意しました。