独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月17日、EC-CUBE 2系におけるクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes(JVN)」発表した。三井物産セキュアディレクション株式会社の島峰泰平氏が報告を行っている。影響を受けるシステムは以下の通り。
EC-CUBE 2.11.0 から 2.17.2-p1 まで (EC-CUBE 2系)
※EC-CUBE 2.11.0より前のバージョンはすでにサポートが終了しているため、開発者では本脆弱性の有無を確認していない
株式会社イーシーキューブが提供する EC-CUBE 2系には、管理画面の「メルマガ管理/テンプレート設定」および「商品管理/商品登録」にクロスサイトスクリプティングの脆弱性が存在し、管理画面にログイン可能な攻撃者によって、他の管理者または当該製品を使用しているサイトにアクセスした第三者のブラウザ上で任意のスクリプトを実行される可能性がある。
JVNでは、開発者が提供する情報をもとにパッチを適用するよう呼びかけている。
