「EC-CUBE」に任意のコードを実行される脆弱性 - 危険度「低」

eコマースプラットフォーム「EC-CUBE」に任意のコードを実行されるおそれがある脆弱性が明らかとなった。

同4系、同3系においてテンプレートエンジン「Twig」の設定不備に起因する脆弱性「CVE-2023-46845」が明らかとなったもの。悪用には「EC-CUBE」の管理者権限が必要となるが、サーバ上で任意のコードを実行されるおそれがあるという。

開発元のイーシーキューブは、同脆弱性の危険度を「低」とレーティング。JPCERTコーディネーションセンターでは、共通脆弱性評価システム「CVSSv3.0」においてベーススコアを「7.2」と評価している。

同脆弱性は、エヌ・エフ・ラボラトリーズの三浦剛氏がJPCERTコーディネーションセンターへ報告し、公開にあたり同センターが調整を行った。

イーシーキューブでは脆弱性を修正した「同4.2.3」をリリース。また修正用の差分ファイルへ差し替えるか、修正部分のソースコードを反映するよう呼びかけている。

（Security NEXT - 2023/11/07 ） ツイート

PR

関連記事

豆腐通販サイトで決済アプリ改ざん - 個人情報流出の可能性
「Splunk」向けのAI拡張ツールに複数の脆弱性
「Cisco ISE」にRCE脆弱性 - 端末の接続に影響するおそれも
「Chrome」が脆弱性33件を修正 - 「クリティカル」7件
「Cortex XSOAR」「XSIAM」向け「CommvaultSecurityIQ」連携に脆弱性
台車においた患者情報含む書類が所在不明に - 埼玉病院
「ドットマネー」などにサイバー攻撃 - サービスが一時停止
スポーツ教室当選者宛てメールで誤送信 - 取消機能で再発
バス会社サイトにDDoS攻撃 - 閲覧障害が発生
「Langflow」にRCE脆弱性 - フロー共有環境に影響