独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月28日、株式会社イーシーキューブが提供する「EC-CUBE」に複数のクロスサイトスクリプティング(XSS)の脆弱性が存在するとして、「Japan Vulnerability Notes(JVN)」で発表した。
これらの脆弱性情報は、三井物産セキュアディレクション株式会社の望月岳氏、白倉大河氏、株式会社ブロードバンドセキュリティの志賀拓馬氏(CVE-2023-22438)、株式会社サイバーディフェンス研究所の岩崎徳明氏(CVE-2023-25077)、日本工業大学 データサイエンス学科 橋浦研究室の高橋黎氏(CVE-2023-22838)が、それぞれ報告を行った。
確認された脆弱性は次の通り。
・コンテンツ管理におけるXSS(CVE-2023-22438)
CVSS v3による基本値:5.4
・認証キー設定におけるXSS(CVE-2023-25077)
CVSS v3による基本値:5.4
・商品一覧および商品詳細におけるXSS(CVE-2023-22838)
CVSS v3による基本値:5.4
これらの脆弱性の影響を受けるシステムは次の通り。
・CVE-2023-22438
EC-CUBE 4系
EC-CUBE 4.0.0から 4.0.6-p2
EC-CUBE 4.1.0から 4.1.2-p1
EC-CUBE 4.2.0
EC-CUBE 3系
EC-CUBE 3.0.0から 3.0.18-p5
EC-CUBE 2系
EC-CUBE 2.11.0から 2.11.5
EC-CUBE 2.12.0から 2.12.6
EC-CUBE 2.13.0から 2.13.5
EC-CUBE 2.17.0から 2.17.2
・CVE-2023-25077、CVE-2023-22838
EC-CUBE 4系
EC-CUBE 4.0.0から 4.0.6-p2
EC-CUBE 4.1.0から 4.1.2-p1
EC-CUBE 4.2.0
これらの脆弱性が悪用されると、当該製品の管理画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2023-22438、CVE-2023-25077)、当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2023-22838)といった影響を受ける可能性がある。
JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。また開発者は、本脆弱性を修正した「EC-CUBE 4.2.1」をリリースするとともに、アップデートを適用できないユーザに向け、修正パッチを提供している。
