「EC-CUBE」に任意のコードを実行される脆弱性 - 危険度「低」
eコマースプラットフォーム「EC-CUBE」に任意のコードを実行されるおそれがある脆弱性が明らかとなった。
同4系、同3系においてテンプレートエンジン「Twig」の設定不備に起因する脆弱性「CVE-2023-46845」が明らかとなったもの。悪用には「EC-CUBE」の管理者権限が必要となるが、サーバ上で任意のコードを実行されるおそれがあるという。
開発元のイーシーキューブは、同脆弱性の危険度を「低」とレーティング。JPCERTコーディネーションセンターでは、共通脆弱性評価システム「CVSSv3.0」においてベーススコアを「7.2」と評価している。
同脆弱性は、エヌ・エフ・ラボラトリーズの三浦剛氏がJPCERTコーディネーションセンターへ報告し、公開にあたり同センターが調整を行った。
イーシーキューブでは脆弱性を修正した「同4.2.3」をリリース。また修正用の差分ファイルへ差し替えるか、修正部分のソースコードを反映するよう呼びかけている。
(Security NEXT - 2023/11/07 )
ツイート
PR
関連記事
ファイル転送サーバに不正アクセス、個人情報流出か - 沖縄総合事務局
「PyTorch Lightning」に不正コード - 認証情報窃取のおそれ
「Spring Cloud Config」にパストラバーサルなど複数脆弱性
「Apache HTTP Server」に複数脆弱性 - 更新を呼びかけ
先週注目された記事(2026年4月26日〜2026年5月2日)
「Chrome 148」が公開、脆弱性127件を修正 - 「クリティカル」も複数
Palo Alto Networks製「PAN-OS」に深刻な脆弱性 - すでに悪用も
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
米当局、悪用リストに脆弱性3件を追加 - 最短で5月3日対応期限
小中20校で児童生徒の個人情報を同意なしにPTAへ提供 - 静岡市
