EC-CUBE 2系の管理画面に複数の脆弱性 | ScanNetSecurity
2022.01.18(火)

EC-CUBE 2系の管理画面に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月11日、EC-CUBE 2系における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月11日、EC-CUBE 2系における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

・CVE-2021-20841
EC-CUBE 2.11.2 から 2.17.1 まで (EC-CUBE 2系)

・CVE-2021-20842
EC-CUBE 2.11.0 から 2.17.1 まで (EC-CUBE 2系)

 株式会社イーシーキューブが提供する EC-CUBE 2系には、管理画面におけるアクセス制限不備(CVE-2021-20841)と管理画面におけるクロスサイトリクエストフォージェリ(CVE-2021-20842)の脆弱性が存在し、想定される影響は各脆弱性により異なるが、当該製品にログイン可能なユーザによって本来操作権限のないシステム設定を変更される(CVE-2021-20841)、当該製品にログインした状態の管理者権限を持つユーザが細工されたページにアクセスした場合に管理ユーザを削除される(CVE-2021-20842)可能性がある。

 株式会社イーシーキューブでは、本脆弱性を修正した EC-CUBE 2.17.2 をリリースしており、JVNではアップデートまたはパッチ適用を呼びかけている。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. メタップスペイメント「会費ペイ」で不正アクセス発生、サービス利用団体で決済を停止

    メタップスペイメント「会費ペイ」で不正アクセス発生、サービス利用団体で決済を停止

  2. 中国が侵攻したら台湾は TSMC を破壊すべし ~ 米陸軍誌 2021年トップ論文

    中国が侵攻したら台湾は TSMC を破壊すべし ~ 米陸軍誌 2021年トップ論文

  3. イシバシ楽器WebサーバにSQLインジェクション攻撃、約10万件の会員メールアドレスが流出

    イシバシ楽器WebサーバにSQLインジェクション攻撃、約10万件の会員メールアドレスが流出

  4. フィッシング攻撃で悪用される「ミスリードURL」と「ホモグラフ攻撃」について解説

    フィッシング攻撃で悪用される「ミスリードURL」と「ホモグラフ攻撃」について解説

  5. 2021年総括/中国APTが中国国内企業を攻撃/華為スパイ活動マーケ資料 ほか [Scan PREMIUM Monthly Executive Summary]

    2021年総括/中国APTが中国国内企業を攻撃/華為スパイ活動マーケ資料 ほか [Scan PREMIUM Monthly Executive Summary]

  6. ペットメーカー「マルカンオンラインショップ」に不正アクセス、1,152名のカード情報が流出

    ペットメーカー「マルカンオンラインショップ」に不正アクセス、1,152名のカード情報が流出

  7. Android アプリ「ジモティー」に外部サービスの API キーがハードコードされている問題

    Android アプリ「ジモティー」に外部サービスの API キーがハードコードされている問題

  8. 日本航空電子工業ファイルサーバに不正アクセス、詳細は調査中

    日本航空電子工業ファイルサーバに不正アクセス、詳細は調査中

  9. 旧「馬野化学容器株式会社ネットショップ」に不正アクセス、191名分のカード情報が流出

    旧「馬野化学容器株式会社ネットショップ」に不正アクセス、191名分のカード情報が流出

  10. 知られざる暗号評価プロジェクト CRYPTREC 第8回「 CRYPTREC の国際実績」

    知られざる暗号評価プロジェクト CRYPTREC 第8回「 CRYPTREC の国際実績」

ランキングをもっと見る