JVN#04785663
EC-CUBE における複数のクロスサイトスクリプティングの脆弱性
株式会社イーシーキューブが提供する EC-CUBE には、複数のクロスサイトスクリプティングの脆弱性が存在します。
CVE-2023-22438
- EC-CUBE 4系
- EC-CUBE 4.0.0から 4.0.6-p2
- EC-CUBE 4.1.0から 4.1.2-p1
- EC-CUBE 4.2.0
- EC-CUBE 3系
- EC-CUBE 3.0.0から 3.0.18-p5
- EC-CUBE 2系
- EC-CUBE 2.11.0から 2.11.5
- EC-CUBE 2.12.0から 2.12.6
- EC-CUBE 2.13.0から 2.13.5
- EC-CUBE 2.17.0から 2.17.2
- EC-CUBE 4系
- EC-CUBE 4.0.0から 4.0.6-p2
- EC-CUBE 4.1.0から 4.1.2-p1
- EC-CUBE 4.2.0
株式会社イーシーキューブが提供する EC-CUBE には、次に挙げる複数のクロスサイトスクリプティングの脆弱性が存在します。
- コンテンツ管理におけるクロスサイトスクリプティング (CWE-79) - CVE-2023-22438
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値: 5.4 CVSS v2 AV:N/AC:M/Au:S/C:N/I:P/A:N 基本値: 3.5 - 認証キー設定におけるクロスサイトスクリプティング (CWE-79) - CVE-2023-25077
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値: 5.4 CVSS v2 AV:N/AC:M/Au:S/C:N/I:P/A:N 基本値: 3.5 - 商品一覧および商品詳細におけるクロスサイトスクリプティング (CWE-79) - CVE-2023-22838
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値: 5.4 CVSS v2 AV:N/AC:M/Au:S/C:N/I:P/A:N 基本値: 3.5
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該製品の管理画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2023-22438、CVE-2023-25077
- 当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2023-22838
アップデートする
開発者が提供する情報をもとに最新版にアップデートしてください。
開発者は、本脆弱性を修正した EC-CUBE 4.2.1 をリリースしています。
パッチを適用する
開発者はアップデートを適用できないユーザに向け、修正パッチを提供しています。
詳しくは開発者が提供する情報をご確認ください。
CVE-2023-22438
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 三井物産セキュアディレクション株式会社 望月岳 氏, 白倉大河 氏、株式会社ブロードバンドセキュリティ 志賀 拓馬 氏
CVE-2023-25077
この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社サイバーディフェンス研究所 岩崎 徳明 氏
CVE-2023-22838
この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 日本工業大学 データサイエンス学科 橋浦研究室 高橋 黎 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2023-22438 |
|
CVE-2023-25077 |
|
|
CVE-2023-22838 |
|
| JVN iPedia |
JVNDB-2023-000019 |
