「EC-CUBE 2」系に複数の脆弱性 - アップデートが公開
イーシーキューブが提供するオープンソースのeコマースプラットフォーム「EC-CUBE 2系」に複数の脆弱性が明らかとなった。
「同2.17.1」から「同2.11.0」において2件の脆弱性「CVE-2021-20842」「CVE-2021-20841」が明らかとなったもの。
「CVE-2021-20842」は管理画面におけるクロスサイトリクエストフォージェリ(CSRF)の脆弱性。管理者権限を持つユーザーがログインした状態で細工されたページにアクセスすると、管理者ユーザーを削除されるおそれがある。
同社では脆弱性の危険度を「中」と評価。JVNにおいて共通脆弱性評価システム「CVSSv3」のベーススコアは「6.5」とレーティングされている。
またアクセス制御の不備「CVE-2021-20841」が明らかとなった。「店舗オーナー」権限を持つユーザーによって、本来権限のないシステム設定の変更が可能になる。危険度は「低」としており、JVNによるCVSS基本値は「4.3」。
これら脆弱性は、同社が利用者へ周知するためにJPCERTコーディネーションセンターへ報告した。脆弱性を修正した「同2.17.2」をリリースしたほか、修正部分を公表している。
(Security NEXT - 2021/11/15 )
ツイート
PR
関連記事
ITインフラ監視ツール「Pandora FMS」に脆弱性 - アップデートで修正
「Active! mail 6」に「XSS」や「CSRF」脆弱性 - 修正版へ更新を
「PHP」に複数脆弱性 - セキュリティリリースが公開
ブラウザ「Chrome」の「Cookie暗号化保護」を破壊する「C4攻撃」
「Chromium」の脆弱性狙う攻撃 - 派生ブラウザ利用者も注意を
「Lucee」にクリティカル脆弱性 - 悪用コード公開済み
「MS Edge」にアップデート - ゼロデイ脆弱性などに対応
「Cisco Unified CM」に深刻なRCE脆弱性 - ESリリースのみ影響
「Citrix Bleed 2」への懸念広がる - 提供元は「悪用未確認」強調
メッセージ保護アプリ「TM SGNL」の複数脆弱性、悪用リストに追加