Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「EC-CUBE」向け「ヘルプ機能プラグイン」にSQLiの脆弱性

オープンソースのeコマースシステム「EC-CUBE」向けに提供されているプラグイン「ヘルプ機能プラグイン」にデータベースを操作されるおそれがある脆弱性が含まれていることがわかった。

脆弱性情報のポータルサイトであるJVNによれば、クオーレが提供する「同1.3.5」および以前のバージョンに、「SQLインジェクション」の脆弱性「CVE-2016-1154」が含まれていることが判明したという。脆弱性を悪用されると、リモートよりデータベースのデータが取得されたり、改ざんされるおそれがある。

同脆弱性は、トレードワークスの佐藤元氏が情報処理推進機構(IPA)へ報告。JPCERTコーディネーションセンターが調整を行った。

(Security NEXT - 2016/02/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

「EC-CUBE」にディレクトリトラバーサルの脆弱性 - アップデートが公開
「EC-CUBE」のセキュリティ状況をチェックできる無料ツール
「EC-CUBE」向け決済モジュールに複数脆弱性
EC-CUBE向け「Amazon Payプラグイン」に脆弱性 - 修正版が公開
EC-CUBE向けの簡易脆弱性診断を無償提供 - SHIFT SECURITY
「EC-CUBE」にオープンリダイレクトの脆弱性 - 修正版などリリース
複数のEC-CUBE向け決済モジュールに脆弱性 - 特定URLアクセスでコード実行のおそれ
「EC-CUBE」に固定したセッション利用する脆弱性 - 修正がリリース
EC-CUBEに特化したセキュリティ診断サービス - HASHコンサル
「EC-CUBE」向け「割引クーポンプラグイン」にSQLiの脆弱性