株式会社リソース・シェアリング 【PR】当Webサイトのコンテンツにはプロモーション(広告)が含まれています
スポンサードサーチ
CS-CartのパートナーであるASAP Labは最近、セキュリティ監査を実施し、CS-Cart と Multi-Vendor にセキュリティ上の問題があることを発見したことを2022年9月20日に発表しました。この問題は、CS-Cart と Multi-Vendor の 4.6.1 から 4.15.1 までのバージョンに存在します。
管理者と管理画面へのアクセス権と編集権限を持っている人なら誰でも、サーバへの不正アクセスができてしまいます。
目次
解決策があり、できるだけ早くそれを適用することが重要です
サイトのセキュリティ問題を修正するにはどうすればよいですか?
最良の方法は、CS-Cart と Multi-Vendor をバージョン 4.15.1 SP4 にアップグレードすることです。最新バージョンを使用している場合は、最新のセキュリティ修正と改善がリリースされるとすぐに表示されます。
最新バージョンにアップグレードできない場合はどうすればよいですか?
4.15.1.SP4 にアップグレードできない場合でも、お使いのバージョンで問題を修正できます。
- CS-Cart.comにあるHelpdeskのFile Areaに移動し ます。
- Updates フォルダで、Security Fixes for 4.6.1 – 4.15.x アドオンを探してダウンロードします。
- ドキュメントに従って、アーカイブからアドオンをインストールし ます。
このアドオンは、CS-Cart と Multi-Vendor の古いバージョンのセキュリティ脆弱性を解決します。
このセキュリティ修正プログラムを適用しない場合、どのようなリスクがありますか?
悪用される2つの可能性があると見ています。
- 管理者 (または自分のアカウントへのアクセス権を取得した人) は、管理者に許可した以上のデータを盗む可能性があります。これは、 CS-Cart と Multi-Vendor の両方に適用されます。
- マーケットプレイスの出品者(出品者アカウントを持つ人)もまた、意図されていないデータへのアクセスができる可能性があります。これは、Multi-Vendor にのみ適用され、データへのアクセスを成功させるのは難しいですが、出品者用管理画面へのアクセスを与える前に出品者の審査しない場合には、特に危険です。
今のところ、この問題を利用するには、技術的な知識 (プログラマー程度)、CS-Cart アーキテクチャの知識、ブロック編集権限が必要です。これまでのところ、この脆弱性が誰かによって使用された形跡は確認されていません。
しかし、脆弱性について知れば知るほど、悪用されやすくなるため、できるだけ早く最新の修正プログラムを適用することが重要です。
初めて脆弱性を発見して悪用するのは難しいかもしれませんが、2回目は指示に従うだけです。そのため、脆弱性について知り次第、脆弱性を解消するために特別な努力を払っています。
以前に 4.15.1 SP3 に関するメールを受け取りました。そこからの指示に従いました。他に何かする必要がありますか?
既に、 CS-Cart と Multi-Vendor のセキュリティ問題を修正するために 4.15.1 SP3 をリリースしました。
その後、セキュリティ修正によりサードパーティのアドオンとテーマが壊れる可能性があることが判明したため、アップグレードを保留しました。この問題は Service Pack 4 で修正され、Security Fixes アドオンも更新され、アップグレードが再び利用可能になっています。
- 4.15.1 SP3 にアップグレードした場合は、サードパーティのアドオンやテーマとの互換性を高めるために、Service Pack 4 にもアップグレードしてください。
- Security Fixes アドオンをインストールした場合は、Helpdesk からアドオンを再ダウンロードし、前と同じ手順に従って再度インストールします。新しいアドオンは古いアドオンを上書きするので、古いアドオンをアンインストールする必要はありません。
ASAP Lab はサードパーティですが、信頼できますか?
ASAP Lab は、ホスティング、パフォーマンス、セキュリティを専門とする会社です。
彼らは CS-Cart のパートナーであり、完全に信頼をしています。同社のスタッフは CS-Cart の経験が豊富で、セキュリティとプライバシーを非常に真剣に考えており、定期的に CS-Cart コードの脆弱性をチェックしています。
ECサイト&マーケットプレイスサイトを低コスト・短納期で構築するなら
多言語・多通貨対応ECサイト&マーケットプレイスサイト構築パッケージ CS-Cart は、B2C、B2B、B2B2C、B2B2Bのどのビジネスモデルにも対応したECサイト&マーケットプレイスサイトを低コスト・短納期で構築が可能です。
ECサイトやマーケットプレイスサイトの構築を検討している場合には、是非ご検討ください。
経営課題の解決でお困りではありませんか?
DXを始めとするITを使った経営課題の解決が上手くいっていない企業は数多くあります。
それは、単なるソリューションの導入や、社内人材への丸投げとなっており、課題解決がゴールになっていないからです。
そのためには、経営とITを理解した人材が、経営者層と共に取り組み、経営者の頭の中を可視化することが必須要件です。
現在、1時間の無料オンライン・コンサルティングを実施しております。
是非この機会にご相談ください。
経営課題を解決するWebサイト構築の最適解は?
経営課題を解決するWebサイトとは、何をおいてもWebサイトに集客する事が必須要件です。
そうなると、最強のWebサイトとは「検索エンジンへの登録と分析、GA4での現状分析ができ、集客のための実施施策に落とし込みができ、コンバージョンに繋げられ、改善の分析ができるWebサイト」一択です。
まずは、現状のWebサイトが経営課題を解決することができるのかをまずご相談ください。
ECサイトの最適解はクライアント毎に異なります
経営課題を解決する最適なECサイト、越境ECサイト、BtoB ECサイト、マーケットプレイスを構築するためのシステムは、クライアント毎に異なります。
まずは、御社にとって経営課題を解決するには、どういったシステムが必要であり、ASP、SaaS、パッケージ、フルスクラッチのどれが最適なのかの検証が必要です。
スポンサードサーチ