EC-CUBE 正式版に顧客情報が漏えいしてしまう脆弱性が存在とのこと。回避策とパッチが提供されているそうです。

脆弱性は「EC-CUBE 正式版」の2.4.0 RC1〜2.4.1と「同コミュニティ版」r18068以降のバージョンに存在する。システム内の顧客情報が一般ユーザーのブラウザ上で閲覧できてしまうもので、遠隔の第三者に顧客情報が漏えいする恐れがある。
ロックオンは、脆弱性に対処するログイン確認コードと修正ファイルを公開。ログイン確認コードを「/data/class/pages/admin/customer/LC_Page_Admin_Customer_SearchCustomer.php#process」ファイルの指定位置に挿入することで、脆弱性を解決できるとしている。

EC-CUBEに情報漏えいにつながる脆弱性、早急な対処を - ITmedia エンタープライズ

修正は、セッションを管理者Viewでしか開けないようにするだけらしい。

■56行目付近
-------------------------------------------------------------------
 変更前
-------------------------------------------------------------------
function process()
{
    $objView = new SC_AdminView();
-------------------------------------------------------------------

-------------------------------------------------------------------
 変更後
-------------------------------------------------------------------
function process()
{
   // 認証可否の判定
   $objSess = new SC_Session();
   SC_Utils_Ex::sfIsSuccess($objSess);

   $objView = new SC_AdminView();
-------------------------------------------------------------------

関連URL

• JVN#79762947: EC-CUBE における情報漏えいの脆弱性
• 情報処理推進機構：情報セキュリティ：脆弱性対策：「EC-CUBE」におけるセキュリティ上の弱点（脆弱性）の注意喚起
• EC-CUBEに顧客情報漏えいの脆弱性、アップデートなどで対応を -INTERNET Watch