独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月30日、EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」における格納型クロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
「EC-CUBE Web API プラグイン」1.0.0および2.1.0から2.1.3まで(EC-CUBE 4.0系/4.1系向け)
「EC-CUBE Web API プラグイン(4.2系)」4.2.0から4.2.3まで(EC-CUBE 4.2系向け)
株式会社イーシーキューブが提供する EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」のOAuth管理機能には、格納型クロスサイトスクリプティングの脆弱性が存在し、複数のユーザがOAuth管理機能を使用している場合に、ある管理ユーザが細工した入力を行っておくことで、別の管理ユーザがOAuth管理画面にアクセスしたときに、そのウェブブラウザ上で任意のスクリプトを実行される可能性がある。
JVNでは、開発者が提供する情報をもとにプラグインを最新版へアップデートするよう呼びかけている。
