Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「EC-CUBE 3.0」向け複数プラグインに脆弱性 - 一部はすでに悪用も

イーシーキューブが提供するeコマースプラットフォーム「EC-CUBE 3.0」向けのプラグイン6件に脆弱性が明らかとなった。一部はすでに悪用が確認されているという。

注意喚起を行ったJPCERTコーディネーションセンターによれば、2ベンダーが提供するプラグイン6件に脆弱性が明らかとなったもの。いずれも「クロスサイトスクリプティング(XSS)」の脆弱性で、悪用されると「EC-CUBE」にアクセスした管理者やユーザーのブラウザ上で任意のスクリプトを実行される可能性がある。

サードパーティのETUNAが提供するプラグイン「配送伝票番号プラグイン」 「配送伝票番号csv一括登録プラグイン」「配送伝票番号メールプラグイン」では、共通の脆弱性「CVE-2021-20735」が判明した。

管理画面へアクセスした際にブラウザ上で任意のスクリプトを実行されるおそれがある。共通脆弱性評価システム「CVSSv3.0」におけるベーススコアは「6.1」。同脆弱性は、すでに悪用が確認されているという。

(Security NEXT - 2021/06/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」に脆弱性 - 利用中止を
「EC-CUBE」の一覧画面をカスタマイズするプラグインに脆弱性
「EC-CUBE」に2件のXSS脆弱性が判明 - アップデートなど公開
「EC-CUBE」の無償診断サービスが緊急脆弱性に対応 - 痕跡調査も
「EC-CUBE」に脆弱性、クレカ情報流出被害も - 早急に更新や攻撃有無の確認を
eコマースシステム「EC-CUBE」に2件の脆弱性
「EC-CUBE」にディレクトリトラバーサルの脆弱性 - アップデートが公開
「EC-CUBE」のセキュリティ状況をチェックできる無料ツール
「EC-CUBE」向け決済モジュールに複数脆弱性
EC-CUBE向け「Amazon Payプラグイン」に脆弱性 - 修正版が公開