「EC-CUBE 3.0」向け複数プラグインに脆弱性 - 一部はすでに悪用も

イーシーキューブが提供するeコマースプラットフォーム「EC-CUBE 3.0」向けのプラグイン6件に脆弱性が明らかとなった。一部はすでに悪用が確認されているという。

注意喚起を行ったJPCERTコーディネーションセンターによれば、2ベンダーが提供するプラグイン6件に脆弱性が明らかとなったもの。いずれも「クロスサイトスクリプティング（XSS）」の脆弱性で、悪用されると「EC-CUBE」にアクセスした管理者やユーザーのブラウザ上で任意のスクリプトを実行される可能性がある。

サードパーティのETUNAが提供するプラグイン「配送伝票番号プラグイン」 「配送伝票番号csv一括登録プラグイン」「配送伝票番号メールプラグイン」では、共通の脆弱性「CVE-2021-20735」が判明した。

管理画面へアクセスした際にブラウザ上で任意のスクリプトを実行されるおそれがある。共通脆弱性評価システム「CVSSv3.0」におけるベーススコアは「6.1」。同脆弱性は、すでに悪用が確認されているという。

（Security NEXT - 2021/06/15 ） ツイート

PR

関連記事

「EC-CUBE」に任意のコードを実行される脆弱性 - 危険度「低」
「EC-CUBE 2」系にXSSの脆弱性 - 修正の実施を
「EC-CUBE」に複数のXSS脆弱性 - アップデートやパッチが公開
「EC-CUBE」や公式プラグインに脆弱性 - バグバウンティ契機に発見
「EC-CUBE」向けプラグイン「簡単ブログ for EC-CUBE4」に脆弱性
「EC-CUBE」向け「メルマガ管理プラグイン」に脆弱性
「EC-CUBE」に脆弱性 - 危険度は「低」
「EC-CUBE 2」系に複数の脆弱性 - アップデートが公開
EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」に脆弱性 - 利用中止を
「EC-CUBE」の一覧画面をカスタマイズするプラグインに脆弱性