Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「EC-CUBE 2」系に複数の脆弱性 - アップデートが公開

イーシーキューブが提供するオープンソースのeコマースプラットフォーム「EC-CUBE 2系」に複数の脆弱性が明らかとなった。

「同2.17.1」から「同2.11.0」において2件の脆弱性「CVE-2021-20842」「CVE-2021-20841」が明らかとなったもの。

「CVE-2021-20842」は管理画面におけるクロスサイトリクエストフォージェリ(CSRF)の脆弱性。管理者権限を持つユーザーがログインした状態で細工されたページにアクセスすると、管理者ユーザーを削除されるおそれがある。

同社では脆弱性の危険度を「中」と評価。JVNにおいて共通脆弱性評価システム「CVSSv3」のベーススコアは「6.5」とレーティングされている。

またアクセス制御の不備「CVE-2021-20841」が明らかとなった。「店舗オーナー」権限を持つユーザーによって、本来権限のないシステム設定の変更が可能になる。危険度は「低」としており、JVNによるCVSS基本値は「4.3」。

これら脆弱性は、同社が利用者へ周知するためにJPCERTコーディネーションセンターへ報告した。脆弱性を修正した「同2.17.2」をリリースしたほか、修正部分を公表している。

(Security NEXT - 2021/11/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Movable Type」ベースの「PowerCMS」にも深刻な脆弱性
「VMware vCenter Server」に2件の脆弱性 - アップデートが公開
QNAP Systemsの「Multimedia Console」に脆弱性
独自の修正含む「Microsoft Edge 96.0.1054.29」がリリース
脆弱性に対処した「PHP 7.4.26」「同7.3.33」が公開
「Drupal」にXSSの脆弱性、アップデートが公開 - 「同8」は最後の更新
米英豪、イランのAPT活動に注意喚起 - 「Fortinet」「Exchange」の脆弱性が標的
「Azure AD」に脆弱性 - 更新適用済みだが、利用者側で修正が必要となる場合も
MS、定例外で「Windows 10 Update Assistant」の脆弱性を修正
Google、「Chrome 96」をリリース - 25件のセキュリティ修正を実施