EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」に格納型XSSの脆弱性
AI要約
独立行政法人情報処理推進機構(IPA)とJPCERT/CCは、EC-CUBE 4系用プラグインに存在する脆弱性についてJVNで発表した。
脆弱性が影響を及ぼすシステムや具体的な問題点が明確に示されている。
アップデートの呼びかけも含まれており、対処方法が提示されている。
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月30日、EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」における格納型クロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
「EC-CUBE Web API プラグイン」1.0.0および2.1.0から2.1.3まで(EC-CUBE 4.0系/4.1系向け)
「EC-CUBE Web API プラグイン(4.2系)」4.2.0から4.2.3まで(EC-CUBE 4.2系向け)
株式会社イーシーキューブが提供する EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」のOAuth管理機能には、格納型クロスサイトスクリプティングの脆弱性が存在し、複数のユーザがOAuth管理機能を使用している場合に、ある管理ユーザが細工した入力を行っておくことで、別の管理ユーザがOAuth管理画面にアクセスしたときに、そのウェブブラウザ上で任意のスクリプトを実行される可能性がある。
JVNでは、開発者が提供する情報をもとにプラグインを最新版へアップデートするよう呼びかけている。
