「EC-CUBE 2」系に複数の脆弱性 - アップデートが公開
イーシーキューブが提供するオープンソースのeコマースプラットフォーム「EC-CUBE 2系」に複数の脆弱性が明らかとなった。
「同2.17.1」から「同2.11.0」において2件の脆弱性「CVE-2021-20842」「CVE-2021-20841」が明らかとなったもの。
「CVE-2021-20842」は管理画面におけるクロスサイトリクエストフォージェリ(CSRF)の脆弱性。管理者権限を持つユーザーがログインした状態で細工されたページにアクセスすると、管理者ユーザーを削除されるおそれがある。
同社では脆弱性の危険度を「中」と評価。JVNにおいて共通脆弱性評価システム「CVSSv3」のベーススコアは「6.5」とレーティングされている。
またアクセス制御の不備「CVE-2021-20841」が明らかとなった。「店舗オーナー」権限を持つユーザーによって、本来権限のないシステム設定の変更が可能になる。危険度は「低」としており、JVNによるCVSS基本値は「4.3」。
これら脆弱性は、同社が利用者へ周知するためにJPCERTコーディネーションセンターへ報告した。脆弱性を修正した「同2.17.2」をリリースしたほか、修正部分を公表している。
(Security NEXT - 2021/11/15 )
ツイート
PR
関連記事
ArubaのNAC製品に深刻な脆弱性 - 任意のユーザーを作成可能に
「Outlook」にゼロデイ脆弱性、MSが悪用確認スクリプトを用意
3月公表の「FortiOS」脆弱性、判明のきっかけはゼロデイ攻撃
「Firefox 111」がリリース - 脆弱性13件を解消
「Adobe ColdFusion」にアップデート - ゼロデイ攻撃が発生、早急に対応を
MS、3月の月例パッチを公開 - ゼロデイ脆弱性2件など修正
「Microsoft Edge 111.0.1661.41」がリリース - 脆弱性21件を修正
「ForgeRock AM」のエージェントに深刻な脆弱性 - 早急に更新を
「XStream」や「Plex Media Server」の既知脆弱性が攻撃の標的に
「Proofpoint Enterprise Protection」に複数の脆弱性 - パッチがリリース