「EC-CUBE」におけるクロスサイトスクリプティングの脆弱性について（JVN#97554111）

※最新情報は、JVN iPedia(JVN#97554111)をご覧ください。

概要

株式会社イーシーキューブが提供する「EC-CUBE」は、オープンソースのショッピングサイト構築システムです。

「EC-CUBE」には、クロスサイトスクリプティングの脆弱性が存在します。
「EC-CUBE」の管理画面において、特定の操作を実行する際に任意のスクリプトが実行されます。

当該製品で作成された EC サイトにおいて、攻撃者が特定の入力欄にスクリプトを入力することにより、EC サイトの管理者のブラウザ上で任意のスクリプトが実行される可能性があります。

開発者によれば、本脆弱性を悪用した攻撃が確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。

本脆弱性の深刻度

脆弱性の深刻度は共通脆弱性評価システムCVSS v3とCVSS v2に基づいて定めている。

• CVSS v3に基づいた深刻度と基本値について
  • 脆弱性のCVSS v3深刻度
  • 脆弱性のCVSS v3基本値
• CVSS v2に基づいた深刻度と基本値について
  • 脆弱性のCVSS v2深刻度
  • 脆弱性のCVSS v2基本値

対象

次の製品が対象です。

• EC-CUBE 4.0.0 から 4.0.5 まで

対策

アップデートする

開発者が提供する情報をもとにアップデートしてください。
開発者から本脆弱性に対応した次のバージョンが提供されています。

• EC-CUBE 4.0.5-p1

パッチを適用する

開発者が提供する情報をもとに差分ファイル (Hotfix パッチ) を適用してください。

参考情報

• 【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性発覚と対応のお願い(2021/5/10 9:00 更新)（2021/05/07）
• 脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース（2021/05/10）
• EC-CUBEのクロスサイトスクリプティングの脆弱性（CVE-2021-20717）に関する注意喚起
• 「情報セキュリティ早期警戒パートナーシップ」について
  この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください。
  • 脆弱性関連情報の届出受付