EC-CUBEにクリックジャッキングや不適切な入力確認の脆弱性、パッチ適用呼びかけ
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月3日、EC-CUBEに存在する複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
脆弱性と脅威
セキュリティホール・脆弱性
クリックジャッキング(CVE-2020-5679)
EC-CUBE 3.0.0 から 3.0.18 までのバージョン
不適切な入力確認(CVE-2020-5680)
EC-CUBE 3.0.5 から 3.0.18 までのバージョン
想定される影響としては、当該製品の管理画面にログイン済みのユーザが細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる(CVE-2020-5679)、遠隔の第三者によって、サービス運用妨害(DoS)攻撃を受ける(CVE-2020-5680)可能性がある。
JVNでは、開発者が提供する情報をもとにパッチを適用するよう注意を呼びかけている。
《ScanNetSecurity》