「EC-CUBE」におけるクロスサイトスクリプティングの脆弱性について(JVN#97554111)
ニュース
【概要】
株式会社イーシーキューブが提供する「EC-CUBE」は、オープンソースのショッピングサイト構築システムです。
「EC-CUBE」には、クロスサイトスクリプティングの脆弱性が存在します。
「EC-CUBE」の管理画面において、特定の操作を実行する際に任意のスクリプトが実行されます。
当該製品で作成された EC サイトにおいて、攻撃者が特定の入力欄にスクリプトを入力することにより、EC サイトの管理者のブラウザ上で任意のスクリプトが実行される可能性があります。開発者によれば、本脆弱性を悪用した攻撃が確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。
「EC-CUBE」には、クロスサイトスクリプティングの脆弱性が存在します。
「EC-CUBE」の管理画面において、特定の操作を実行する際に任意のスクリプトが実行されます。
当該製品で作成された EC サイトにおいて、攻撃者が特定の入力欄にスクリプトを入力することにより、EC サイトの管理者のブラウザ上で任意のスクリプトが実行される可能性があります。開発者によれば、本脆弱性を悪用した攻撃が確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。
【本脆弱性の深刻度】
【対象】
- EC-CUBE 4.0.0 から 4.0.5 まで
【対策】
アップデートする
開発者が提供する情報をもとにアップデートしてください。
開発者から本脆弱性に対応した次のバージョンが提供されています。
- EC-CUBE 4.0.5-p1
パッチを適用する
開発者が提供する情報をもとに差分ファイル (Hotfix パッチ) を適用してください。
【参考情報】
- 【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性発覚と対応のお願い(2021/5/10 9:00 更新)(2021/05/07)
https://www.ec-cube.net/news/detail.php?news_id=383
- 脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース(2021/05/10)
https://www.ec-cube.net/news/detail.php?news_id=384 - EC-CUBEのクロスサイトスクリプティングの脆弱性(CVE-2021-20717)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210022.html - 「情報セキュリティ早期警戒パートナーシップ」について
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください。
https://www.ipa.go.jp/security/vuln/report/index.html
出典:独立行政法人情報処理推進機構(IPA)