CS-CartとMulti-Vendor 4.6.1~4.15.1における重大なセキュリティ問題

  • 投稿日
  • 更新日
  • 著者 CS-Cart
  • カテゴリー CS-Cart

スポンサードサーチ

CS-CartのパートナーであるASAP Labは最近、セキュリティ監査を実施し、CS-Cart と Multi-Vendor にセキュリティ上の問題があることを発見したことを2022年9月20日に発表しました。この問題は、CS-Cart と Multi-Vendor の 4.6.1 から 4.15.1 までのバージョンに存在します。

管理者と管理画面へのアクセス権と編集権限を持っている人なら誰でも、サーバへの不正アクセスができてしまいます。

解決策があり、できるだけ早くそれを適用することが重要です

サイトのセキュリティ問題を修正するにはどうすればよいですか?

最良の方法は、CS-Cart と Multi-Vendor をバージョン 4.15.1 SP4 にアップグレードすることです。最新バージョンを使用している場合は、最新のセキュリティ修正と改善がリリースされるとすぐに表示されます。

最新バージョンにアップグレードできない場合はどうすればよいですか?

4.15.1.SP4 にアップグレードできない場合でも、お使いのバージョンで問題を修正できます。

  1. CS-Cart.comにあるHelpdeskFile Areaに移動し ます。
  2. Updates フォルダで、Security Fixes for 4.6.1 – 4.15.x  アドオンを探してダウンロードします。
  3. ドキュメントに従って、アーカイブからアドオンをインストールし ます。

このアドオンは、CS-Cart と Multi-Vendor の古いバージョンのセキュリティ脆弱性を解決します。

このセキュリティ修正プログラムを適用しない場合、どのようなリスクがありますか?

悪用される2つの可能性があると見ています。

  • 管理者 (または自分のアカウントへのアクセス権を取得した人) は、管理者に許可した以上のデータを盗む可能性があります。これは、 CS-Cart と Multi-Vendor の両方に適用されます。
  • マーケットプレイスの出品者(出品者アカウントを持つ人)もまた、意図されていないデータへのアクセスができる可能性があります。これは、Multi-Vendor にのみ適用され、データへのアクセスを成功させるのは難しいですが、出品者用管理画面へのアクセスを与える前に出品者の審査しない場合には、特に危険です。

今のところ、この問題を利用するには、技術的な知識 (プログラマー程度)、CS-Cart アーキテクチャの知識、ブロック編集権限が必要です。これまでのところ、この脆弱性が誰かによって使用された形跡は確認されていません。

しかし、脆弱性について知れば知るほど、悪用されやすくなるため、できるだけ早く最新の修正プログラムを適用することが重要です。

初めて脆弱性を発見して悪用するのは難しいかもしれませんが、2回目は指示に従うだけです。そのため、脆弱性について知り次第、脆弱性を解消するために特別な努力を払っています。

以前に 4.15.1 SP3 に関するメールを受け取りました。そこからの指示に従いました。他に何かする必要がありますか?

既に、 CS-Cart と Multi-Vendor のセキュリティ問題を修正するために 4.15.1 SP3 をリリースしました。

その後、セキュリティ修正によりサードパーティのアドオンとテーマが壊れる可能性があることが判明したため、アップグレードを保留しました。この問題は Service Pack 4 で修正され、Security Fixes アドオンも更新され、アップグレードが再び利用可能になっています。

  • 4.15.1 SP3 にアップグレードした場合は、サードパーティのアドオンやテーマとの互換性を高めるために、Service Pack 4 にもアップグレードしてください。
  • Security Fixes アドオンをインストールした場合は、Helpdesk からアドオンを再ダウンロードし、前と同じ手順に従って再度インストールします。新しいアドオンは古いアドオンを上書きするので、古いアドオンをアンインストールする必要はありません。

ASAP Lab はサードパーティですが、信頼できますか?

ASAP Lab は、ホスティング、パフォーマンス、セキュリティを専門とする会社です。

彼らは CS-Cart のパートナーであり、完全に信頼をしています。同社のスタッフは CS-Cart の経験が豊富で、セキュリティとプライバシーを非常に真剣に考えており、定期的に CS-Cart コードの脆弱性をチェックしています。

AI時代だからこそ、戦略は人と一緒に考えることが、最初の一歩です。

開発やコンテンツ生成はAIが担える時代になりました。しかし、何を作るか・どこを目指すかという問いに答えるのは、依然として人の仕事です。

DX推進や新規事業の立ち上げで壁にぶつかる企業の多くは、ソリューションの導入や社内人材への丸投げに終始し、課題の本質が言語化されないまま進んでしまっています。

経営とITの両方を理解した人間が、経営者と並走しながら要求定義・要件定義の段階から一緒に考える。AIはこのプロセスを補助できますが、主役にはなれません。

まだ課題が言語化できていない段階からでも、遠慮なくご相談ください。一緒に考えます。

無料オンラインコンサルティングに申し込む →

AIが生成できないのは「実績と信頼」

ECサイトやマーケットプレイスサイトはCS-Cart国際版(公式)という選択肢

AIはコードを書けます。しかし、長年の実運用で磨かれたロジックや、世界中の事業者が検証したセキュリティを、プロンプト一つで再現することはできません。

CS-Cart国際版(公式)は、自社EC・越境EC・BtoB EC・マーケットプレイスに対応した豊富な実績ある機能をパッケージとして提供しています。

構築コストを抑えながら、堅牢なECサイトを立ち上げることができます。

CS-Cart国際版(公式)について詳しく見る →

スポンサードサーチ

B2B B2B2C B2C BtoB BtoBtoC BtoC CS-Cart CS-Cart Multi-Vendor CS-Cart Standard CS-Cart Ultimate CS-Cart Ultimate B2B CS-Cart 国際版 ECサイト構築 Multi-Vendor Plus Multi-Vendor Standard Multi-Vendor Ultimate アップデート セキュリティ 越境EC