「EC-CUBE」に複数のXSSの脆弱性、対策版および修正パッチを提供(JVN) | ScanNetSecurity
2024.03.29(金)

「EC-CUBE」に複数のXSSの脆弱性、対策版および修正パッチを提供(JVN)

IPAおよびJPCERT/CCは、イーシーキューブが提供する「EC-CUBE」に複数のクロスサイトスクリプティングの脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月28日、株式会社イーシーキューブが提供する「EC-CUBE」に複数のクロスサイトスクリプティング(XSS)の脆弱性が存在するとして、「Japan Vulnerability Notes(JVN)」で発表した。

 これらの脆弱性情報は、三井物産セキュアディレクション株式会社の望月岳氏、白倉大河氏、株式会社ブロードバンドセキュリティの志賀拓馬氏(CVE-2023-22438)、株式会社サイバーディフェンス研究所の岩崎徳明氏(CVE-2023-25077)、日本工業大学 データサイエンス学科 橋浦研究室の高橋黎氏(CVE-2023-22838)が、それぞれ報告を行った。

 確認された脆弱性は次の通り。

・コンテンツ管理におけるXSS(CVE-2023-22438)
 CVSS v3による基本値:5.4
・認証キー設定におけるXSS(CVE-2023-25077)
 CVSS v3による基本値:5.4
・商品一覧および商品詳細におけるXSS(CVE-2023-22838)
 CVSS v3による基本値:5.4

 これらの脆弱性の影響を受けるシステムは次の通り。

・CVE-2023-22438
 EC-CUBE 4系
  EC-CUBE 4.0.0から 4.0.6-p2
  EC-CUBE 4.1.0から 4.1.2-p1
  EC-CUBE 4.2.0
 EC-CUBE 3系
  EC-CUBE 3.0.0から 3.0.18-p5
 EC-CUBE 2系
  EC-CUBE 2.11.0から 2.11.5
  EC-CUBE 2.12.0から 2.12.6
  EC-CUBE 2.13.0から 2.13.5
  EC-CUBE 2.17.0から 2.17.2
・CVE-2023-25077、CVE-2023-22838
 EC-CUBE 4系
  EC-CUBE 4.0.0から 4.0.6-p2
  EC-CUBE 4.1.0から 4.1.2-p1
  EC-CUBE 4.2.0

 これらの脆弱性が悪用されると、当該製品の管理画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2023-22438、CVE-2023-25077)、当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2023-22838)といった影響を受ける可能性がある。

 JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。また開発者は、本脆弱性を修正した「EC-CUBE 4.2.1」をリリースするとともに、アップデートを適用できないユーザに向け、修正パッチを提供している。

《吉澤 亨史( Kouji Yoshizawa )》

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る