インフォメーション

RSS Feeds

平素は「ヘテムル」をご利用いただき、誠にありがとうございます。

このたび、複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起が報告されました。
該当のバージョンのEC-CUBEをご利用中の方は、以下サイトより詳細をご確認ください。

▽ JPCERTCC - 注意喚起
https://www.jpcert.or.jp/at/2021/at210028.html

対象となる製品とバージョンは次のEC-CUBE 3.0系用プラグインです。

ETUNA(CVE-2021-20735)
- 配送伝票番号プラグイン(3.0系)1.0.10およびそれ以前のバージョン
- 配送伝票番号csv一括登録プラグイン(3.0系)1.0.8およびそれ以前のバージョン
- 配送伝票番号メールプラグイン(3.0系)1.0.8およびそれ以前のバージョン

株式会社イーシーキューブ
- 帳票出力プラグイン バージョン1.0.1より前のバージョン - CVE-2021-20742
- メルマガ管理プラグイン バージョン1.0.4より前のバージョン - CVE-2021-20743
- カテゴリコンテンツプラグイン バージョン1.0.1より前のバージョン - CVE-2021-20744

株式会社イーシーキューブによると、脆弱性(CVE-2021-20742、CVE-2021-20743、CVE-2021-20744)はEC-CUBE 3.0.0から3.0.8の環境でのみ発生し、EC-CUBE 3.0.9以降では発生しないとのことです。

■ プラグインの確認方法
EC-CUBE管理画面へログイン後、『オーナーズストア』>『プラグイン』>『プラグイン一覧』にてご利用中のプラグインをご確認ください。

■ 対策方法
JPCERTCC公式サイトに記載の方法に従い、対策済みバージョンの適用を実施してください。

※ファイルの修正・バージョンアップを行う際には、必ず事前に各種データをバックアップしてください。
※脆弱性が存在する可能性を減らすため、利用していないEC-CUBEはサーバーから削除ください。

■ ヘテムルのEC-CUBE簡単インストールについて
現在提供中のEC-CUBE3.0.18では、対象のプラグインが利用可能な状態となりますのでご利用の場合は必ずご確認のほどよろしくお願いします。

大切なホームページへの被害を防ぐため、早急にご対応ください。

平素はヘテムルをご利用いただき誠にありがとうございます。

heteml を騙った不審なメールについてご報告をいただいております。
以下内容のメールは弊社よりお送りしているメールではございません。
開封、記載アドレスへアクセスは行われないよう十分にご注意願います。

2 つの新しいメッセージがクラウド保留になっている受信サーバー エラーに気付きました。

作業中のドメインから解放する必要があります:

リリース:

ありがとうございます
協力

Hetemlヘルプデスク

受信しておられる場合には該当メールを削除いただきご対応ください。
なお、万が一アクセスの上、何らかの情報入力などを行なっておられる場合、
速やかにコントロールパネルよりパスワード変更をお願いいたします。

◆メールのパスワード変更手順
「コントロールパネル」→ドメイン・メール関連「ドメイン・メール設定」
→「詳細を見る」→メールアドレス設定→「設定変更」ボタン
→新しいパスワードを設定→「パスワード変更」ボタン

お手数をおかけいたしますがご確認よろしくお願いいたします。

平素はヘテムルをご利用いただきありがとうございます。
Internet Explorer11(IE11)でWordPressをご利用のみなさまへ、ブラウザの切り替えについてのご案内です。

WordPressより、2021年7月のWordPress5.8のリリースをもってIE11のサポートを終了することが発表されました。
サポート終了後は、IE11でWorePressが正常に動作しなくなるなどの不具合が発生する恐れがあります。

▽Internet Explorer11のサポートを終了します - WordPress
https://wordpress.org/news/2021/05/dropping-support-for-internet-explorer-11/

現在IE11をご利用のみなさまは、お早めにGoogle Chrome、Mozilla Firefox、Safari、MicrosoftEdgeなどの推奨ブラウザでの動作確認、
ならびに利用ブラウザの切り替えをお願いいたします。

■推奨ブラウザについて
WordPressの推奨ブラウザについては、公式ページをご確認ください。

▽ブラウザのサポート - WordPress
https://make.wordpress.org/core/handbook/best-practices/browser-support/

引き続き、ヘテムルをよろしくお願いいたします。

この度、WordPressのバージョン3.7から5.7.1にかけての全てのバージョンに影響のある脆弱性が確認されました。
WordPressをご利用中の方は、最新のバージョン5.7.2へのアップデートをお願いいたします。
バージョン5.7.2のリリースについてはWordPress公式サイトをご確認ください。

▽WordPress5.7.2 セキュリティリリース - WordPress公式サイト
https://ja.wordpress.org/2021/05/13/wordpress-5-7-2-security-release/

■ 報告された脆弱性
今回報告されたのは、「CVE-2020-36326」および「CVE-2018-19296」の2つのPHPMailerにおけるオブジェクトインジェクションです。
いずれも深刻度は緊急(Critical)および重要(High)となっており、
この脆弱性を悪用されると第三者に遠隔から任意のコードを実行される危険性(RCE)があります。

2つの脆弱性について、詳しくはNIST(米国標準技術研究所)の脆弱性情報データベースをご確認ください。

▽CVE-2020-36326 - NIST
https://nvd.nist.gov/vuln/detail/CVE-2020-36326

▽CVE-2018-19296 - NIST
https://nvd.nist.gov/vuln/detail/CVE-2018-19296

■ 対策
修正された最新バージョン5.7.2へのアップデートをお願いいたします。

■ アップデートの手順
自動アップグレード機能を有効にしている場合はアップグレードが自動的に行われますが、念のため5.7.2へアップデートされているかご確認ください。
自動アップグレードを無効にしている場合は、WordPressの管理画面から、
ダッシュボード>更新メニュー「今すぐ更新」をクリックすることでアップデートできます。

大切なホームページへの被害を防ぐため、早急なご対応をお願いいたします。

平素は「ヘテムル」をご利用いただき、誠にありがとうございます。

この度、EC-CUBEのバージョン4.0.0〜4.0.5にて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が報告されました。
該当のバージョンのEC-CUBEをご利用中の方は、EC-CUBE公式サイトの「ニュース」をご確認ください。
特に、ホームページが攻撃された可能性の確認方法についてはEC-CUBE公式サイトの該当箇所をご覧ください。

また、該当のバージョンをご利用の場合は、下記対策を行っていただくようお願いいたします。

■該当のバージョン
4.0.0〜4.0.5

■バージョンの確認方法
EC-CUBE管理画面へログイン後、『設定』>『システム情報設定』>『システム情報』にてご利用中のバージョンをご確認ください。

■対策方法
EC-CUBE公式サイトに記載の方法に従い、修正ファイルの適用やEC-CUBEのバージョンアップを行ってください。

※ファイルの修正・バージョンアップを行う際には、必ず事前に各種データをバックアップしてください。
※脆弱性が存在する可能性を減らすため、利用していないEC-CUBEはサーバーから削除ください。

■ヘテムルのEC-CUBE簡単インストールについて
現在提供中のEC-CUBE3.0.18では、今回の脆弱性の影響はございません。
また、ヘテムルではEC-CUBE4系の簡単インストールは提供しておりません。

大切なホームページへの被害を防ぐため、早急なご対応をお願いいたします。
これからも、レンタルサーバー「ヘテムル」をよろしくお願いいたします。