Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「EC-CUBE」向け「ヘルプ機能プラグイン」にSQLiの脆弱性

オープンソースのeコマースシステム「EC-CUBE」向けに提供されているプラグイン「ヘルプ機能プラグイン」にデータベースを操作されるおそれがある脆弱性が含まれていることがわかった。

脆弱性情報のポータルサイトであるJVNによれば、クオーレが提供する「同1.3.5」および以前のバージョンに、「SQLインジェクション」の脆弱性「CVE-2016-1154」が含まれていることが判明したという。脆弱性を悪用されると、リモートよりデータベースのデータが取得されたり、改ざんされるおそれがある。

同脆弱性は、トレードワークスの佐藤元氏が情報処理推進機構(IPA)へ報告。JPCERTコーディネーションセンターが調整を行った。

(Security NEXT - 2016/02/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

「EC-CUBE」に任意のコードを実行される脆弱性 - 危険度「低」
「EC-CUBE 2」系にXSSの脆弱性 - 修正の実施を
「EC-CUBE」に複数のXSS脆弱性 - アップデートやパッチが公開
「EC-CUBE」や公式プラグインに脆弱性 - バグバウンティ契機に発見
「EC-CUBE」向けプラグイン「簡単ブログ for EC-CUBE4」に脆弱性
「EC-CUBE」向け「メルマガ管理プラグイン」に脆弱性
「EC-CUBE」に脆弱性 - 危険度は「低」
「EC-CUBE 2」系に複数の脆弱性 - アップデートが公開
EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」に脆弱性 - 利用中止を
「EC-CUBE」の一覧画面をカスタマイズするプラグインに脆弱性