「EC-CUBE 2」系に複数の脆弱性 - アップデートが公開
イーシーキューブが提供するオープンソースのeコマースプラットフォーム「EC-CUBE 2系」に複数の脆弱性が明らかとなった。
「同2.17.1」から「同2.11.0」において2件の脆弱性「CVE-2021-20842」「CVE-2021-20841」が明らかとなったもの。
「CVE-2021-20842」は管理画面におけるクロスサイトリクエストフォージェリ(CSRF)の脆弱性。管理者権限を持つユーザーがログインした状態で細工されたページにアクセスすると、管理者ユーザーを削除されるおそれがある。
同社では脆弱性の危険度を「中」と評価。JVNにおいて共通脆弱性評価システム「CVSSv3」のベーススコアは「6.5」とレーティングされている。
またアクセス制御の不備「CVE-2021-20841」が明らかとなった。「店舗オーナー」権限を持つユーザーによって、本来権限のないシステム設定の変更が可能になる。危険度は「低」としており、JVNによるCVSS基本値は「4.3」。
これら脆弱性は、同社が利用者へ周知するためにJPCERTコーディネーションセンターへ報告した。脆弱性を修正した「同2.17.2」をリリースしたほか、修正部分を公表している。
(Security NEXT - 2021/11/15 )
ツイート
PR
関連記事
「Dell PowerProtect Data Domain」に143件の脆弱性 - 修正版が公開
「ColdFusion」や「Langflow」の脆弱性悪用に注意喚起 - 米当局
リモートアクセスツール「UltraVNC」に複数の脆弱性
DC向け機器「NVIDIA Networking BlueField」「ConnectX」に複数脆弱性
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正
「IBM WebSphere Application Server」の管理画面に複数脆弱性
侵害受けたKDDIのISP向けメールシステム、ゼロデイ脆弱性が標的に
「WinRAR」に脆弱性、過去の問題に類似 - 修正版をリリース
「FortiOS」のLDAP認証バイパス脆弱性、仮想パッチが公開
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
