EC-CUBE公式プラグイン(EC-CUBE3.0系)における脆弱性の発覚と対応方法

スポンサードサーチ

情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)により株式会社イーシーキューブが提供するEC-CUBE公式プラグインの「帳票出力プラグイン」「メルマガ管理プラグイン」「カテゴリコンテンツプラグイン」では、それぞれ「CVE-2021-20742」「CVE-2021-20743」「CVE-2021-20744」の脆弱性が存在することが報告されています。

株式会社イーシーキューブが提供する複数の EC-CUBE 用プラグインには、複数のクロスサイトスクリプティングの脆弱性が存在します。

JVN#57524494 複数のイーシーキューブ製 EC-CUBE 用プラグインにおける複数のクロスサイトスクリプティングの脆弱性

これら3件に関しては、開発者によると、本脆弱性は EC-CUBE 3.0.0 から 3.0.8 の環境でのみ発生し、EC-CUBE 3.0.9 以降では発生しないとのことですが、これらのバージョンを利用されている方は、至急対応が必要となっています。

クロスサイトスクリプティング(XSS)脆弱性

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 当該製品で作成された EC サイトにおいて、攻撃者が特定の入力欄にスクリプトを入力することにより、EC サイトの管理者のウェブブラウザ上で任意のスクリプトが実行される – CVE-2021-20742
  • 攻撃者が当該製品のユーザを細工したページに誘導し、特定の操作を実行させることにより、ユーザのウェブブラウザ上で任意のスクリプトが実行される – CVE-2021-20743
  • 攻撃者が当該製品の管理者またはユーザを細工したページに誘導し、特定の操作を実行させることにより、管理者またはユーザのウェブブラウザ上で任意のスクリプトが実行される – CVE-2021-20744

対応方法

対応方法として、プラグインの修正バージョンが提供されています。

管理画面のオーナーズストアより、プラグインを最新版へアップデートしてください。

ITを使った経営課題の解決でお困りではありませんか?

DXを始めとするITを使った経営課題の解決が上手くいっていない企業は数多くあります。

それは、単なるソリューションの導入や、社内人材への丸投げとなっており、課題解決がゴールになっていないからです。

そのためには、経営とITを理解した人材が、経営者層と共に取り組み、経営者の頭の中を可視化することが必須要件です。

現在、1時間の無料オンライン・コンサルティングを実施しております。

是非この機会にご相談ください。

構築予算が10分の1に

経営課題を解決するECサイト、越境ECサイト、BtoB ECサイト、マーケットプレイスを構築するならCS-Cartをご検討ください。

スポンサードサーチ