4月16日に株式会社ロックオンが提供している「EC-CUBE」バージョン3でセキュリティ上の脆弱性が公表されました。
それに伴い修正版「EC-CUBE 3.0.16」もリリースされました。
【EC-CUBE 3.0.16】本日、ユーザーの皆様の声をもとに開発したEC-CUBE 3の最新バージョンをリリースしました。細かな不具合修正に対応したバージョンとなっています。また、3.0系における緊急度「低」の脆弱性、1件を対応していますのでご確認下さい。https://t.co/tDRJst63sp #eccube
— EC-CUBE (@EC_CUBE) 2018年4月16日
今回の危険度は低です。
EC-CUBE3の対象バージョンは3.0.0~3.0.15、全てのバージョンです。
EC-CUBE3を使用しているサイトは、念のため、修正ファイルの反映、またはバージョンアップしておいた方が良いでしょう。
修正ファイルの反映は下記に掲載されています。
EC-CUBE 3.0系のセッション固定に関する修正について
EC-CUBE3のバージョンアップの方法は下記サイトにバージョンごとの変更ファイルも公開されています。
ファイルの反映などを行う場合は、サイトデータ、DBのバックアップを行いましょう。