セキュリティ関係(11/6)
■ JVN#19072922 緊急 EC-CUBE における SQL インジェクションの脆弱性 (JVN, 11/6)
11/1に公開のJVN#81111541 とは別物。
影響を受けるのは、
- EC-CUBE Ver2 正式版 Version 2.3.0 およびそれ以前
- EC-CUBE Ver2 RC版 Version 2.3.0-rc1 およびそれ以前
- EC-CUBE Ver1 正式版 Version 1.4.7 およびそれ以前
- EC-CUBE Ver1 ベータ版 Version 1.5.0-beta2 およびそれ以前
- EC-CUBEコミュニティ コミュニティ版 1.3.5 およびそれ以前
- EC-CUBEコミュニティ ナイトリービルド版 r17668 およびそれ以前
対策は、最新版へアップデート。
関連:
- 「EC-CUBE」におけるセキュリティ上の弱点(脆弱性)の注意喚起 (IPA, 11/6)
■ JVN#67060882 sISAPILocation における HTTP ヘッダ書き換え回避の脆弱性 (JVN, 11/6)
佐名木智貴氏によるIIS (Internet Information Services) 上で動作する個人開発の ISAPI フィルタ sISAPILocation Ver1.0.2.1 およびそれ以前 に脆弱性。アップデートが出ている。