情報セキュリティ
最終更新日:2021年5月10日
※最新情報は、JVN iPedia(JVN#97554111)をご覧ください。
株式会社イーシーキューブが提供する「EC-CUBE」は、オープンソースのショッピングサイト構築システムです。
「EC-CUBE」には、クロスサイトスクリプティングの脆弱性が存在します。
「EC-CUBE」の管理画面において、特定の操作を実行する際に任意のスクリプトが実行されます。
当該製品で作成された EC サイトにおいて、攻撃者が特定の入力欄にスクリプトを入力することにより、EC サイトの管理者のブラウザ上で任意のスクリプトが実行される可能性があります。
開発者によれば、本脆弱性を悪用した攻撃が確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。
脆弱性の深刻度は共通脆弱性評価システムCVSS v3とCVSS v2に基づいて定めている。
重要
7.1
II(警告)
6.8
次の製品が対象です。
アップデートする
開発者が提供する情報をもとにアップデートしてください。
開発者から本脆弱性に対応した次のバージョンが提供されています。
パッチを適用する
開発者が提供する情報をもとに差分ファイル (Hotfix パッチ) を適用してください。
IPA セキュリティセンター
※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。
2021年5月10日
掲載