JVN は、ロックオンが OSS で提供する EC サイト構築パッケージ「EC-CUBE」に、ユーザー情報の改ざんおよび漏えいの脆弱性があると発表した。影響を受けるシステムは、情報改ざんは「EC-CUBE Ver 2.12.2 以前」、情報漏えいについては「EC-CUBE Ver 2.11.0〜2.12.2」。

「EC-CUBE」にユーザー情報改ざん・漏えいの脆弱性、アップデート対応を
JPCERT/CCによる脆弱性分析結果(2014.01.22)

想定される影響としては、ショッピングサイト利用者によって、他の利用者の登録情報が改ざん、または取得される可能性があるという。

対策方法は、開発者が提供する情報をもとに、最新版へアップデートもしくは修正ファイルを適用する。現在、Ver 2.13.1 を提供中。

詳細な分析結果によると、攻撃者が自らアカウントを取得することで、インターネット経由からの攻撃が可能。攻撃を受けたユーザーは、特別な操作をしなくても攻撃される可能性があるとのこと。