EC-CUBE 2系にXSSの脆弱性 | ScanNetSecurity
2026.07.08(水)

EC-CUBE 2系にXSSの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月17日、EC-CUBE 2系におけるクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes(JVN)」発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月17日、EC-CUBE 2系におけるクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes(JVN)」発表した。三井物産セキュアディレクション株式会社の島峰泰平氏が報告を行っている。影響を受けるシステムは以下の通り。

EC-CUBE 2.11.0 から 2.17.2-p1 まで (EC-CUBE 2系)

※EC-CUBE 2.11.0より前のバージョンはすでにサポートが終了しているため、開発者では本脆弱性の有無を確認していない

 株式会社イーシーキューブが提供する EC-CUBE 2系には、管理画面の「メルマガ管理/テンプレート設定」および「商品管理/商品登録」にクロスサイトスクリプティングの脆弱性が存在し、管理画面にログイン可能な攻撃者によって、他の管理者または当該製品を使用しているサイトにアクセスした第三者のブラウザ上で任意のスクリプトを実行される可能性がある。

 JVNでは、開発者が提供する情報をもとにパッチを適用するよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  2. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  3. 2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  4. 常石グループへのフィッシングメールで認証情報が漏えい、再発防止策を発表

    常石グループへのフィッシングメールで認証情報が漏えい、再発防止策を発表

  5. KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める

ランキングをもっと見る
PageTop