情報セキュリティ

「EC-CUBE」におけるクロスサイトスクリプティングの脆弱性について(JVN#97554111)

最終更新日:2021年5月10日

※最新情報は、JVN iPedia(JVN#97554111)をご覧ください。

概要

株式会社イーシーキューブが提供する「EC-CUBE」は、オープンソースのショッピングサイト構築システムです。

「EC-CUBE」には、クロスサイトスクリプティングの脆弱性が存在します。
「EC-CUBE」の管理画面において、特定の操作を実行する際に任意のスクリプトが実行されます。

当該製品で作成された EC サイトにおいて、攻撃者が特定の入力欄にスクリプトを入力することにより、EC サイトの管理者のブラウザ上で任意のスクリプトが実行される可能性があります。

開発者によれば、本脆弱性を悪用した攻撃が確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。

本脆弱性の深刻度

脆弱性の深刻度は共通脆弱性評価システムCVSS v3とCVSS v2に基づいて定めている。

本脆弱性のCVSS v3深刻度

重要

本脆弱性のCVSS v3基本値

7.1

本脆弱性のCVSS v2深刻度

II(警告)

本脆弱性のCVSS v2基本値

6.8

対象

次の製品が対象です。

  • EC-CUBE 4.0.0 から 4.0.5 まで

対策

アップデートする

開発者が提供する情報をもとにアップデートしてください。
開発者から本脆弱性に対応した次のバージョンが提供されています。

  • EC-CUBE 4.0.5-p1

パッチを適用する

開発者が提供する情報をもとに差分ファイル (Hotfix パッチ) を適用してください。

参考情報

お問い合わせ先

IPA セキュリティセンター

  • E-mail

    vuln-inqアットマークipa.go.jp

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。

更新履歴

  • 2021年5月10日

    掲載