EC-CUBE 2系の管理画面に複数の脆弱性 | ScanNetSecurity
2026.05.19(火)

EC-CUBE 2系の管理画面に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月11日、EC-CUBE 2系における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性
62 views
facebookLINE
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月11日、EC-CUBE 2系における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

・CVE-2021-20841
EC-CUBE 2.11.2 から 2.17.1 まで (EC-CUBE 2系)

・CVE-2021-20842
EC-CUBE 2.11.0 から 2.17.1 まで (EC-CUBE 2系)

 株式会社イーシーキューブが提供する EC-CUBE 2系には、管理画面におけるアクセス制限不備(CVE-2021-20841)と管理画面におけるクロスサイトリクエストフォージェリ(CVE-2021-20842)の脆弱性が存在し、想定される影響は各脆弱性により異なるが、当該製品にログイン可能なユーザによって本来操作権限のないシステム設定を変更される(CVE-2021-20841)、当該製品にログインした状態の管理者権限を持つユーザが細工されたページにアクセスした場合に管理ユーザを削除される(CVE-2021-20842)可能性がある。

 株式会社イーシーキューブでは、本脆弱性を修正した EC-CUBE 2.17.2 をリリースしており、JVNではアップデートまたはパッチ適用を呼びかけている。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. デンソーグループのイタリア・モロッコ拠点に不正アクセス

    デンソーグループのイタリア・モロッコ拠点に不正アクセス

  2. Webメール「Active!mail」に海外IPアドレスからDDoS攻撃

    Webメール「Active!mail」に海外IPアドレスからDDoS攻撃

  3. Windows DNS クライアントにリモートでコードが実行される脆弱性

    Windows DNS クライアントにリモートでコードが実行される脆弱性

  4. 中学校教員 コインロッカーの鍵かけ忘れ 端末と鍵 盗難被害

    中学校教員 コインロッカーの鍵かけ忘れ 端末と鍵 盗難被害

  5. 今日もどこかで情報漏えい 第48回「2026年4月の情報漏えい」“非表示シート Excel 警察” 待望論

    今日もどこかで情報漏えい 第48回「2026年4月の情報漏えい」“非表示シート Excel 警察” 待望論

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP