EC-CUBE 4系にプラグインインストール時の入力値チェックの不備
AI要約
独立行政法人情報処理推進機構(IPA)およびJPCERT/CCは、EC-CUBE 4系におけるプラグインインストール時の入力値チェック不備について警告を発表。
影響を受けるシステムは、EC-CUBE 4.0.0から4.2.3までの特定バージョン群に限定される。攻撃者が悪意のあるPHPパッケージをインストールする危険性が指摘されている。
JVNでは、修正パッチの適用を呼びかけており、早急な対応が求められている。
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月30日、EC-CUBE 4系におけるプラグインインストール時の入力値チェックの不備について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
・EC-CUBE 4系
EC-CUBE 4.0.0から4.0.6-p4まで
EC-CUBE 4.1.0から4.1.2-p3まで
EC-CUBE 4.2.0から4.2.3まで
株式会社イーシーキューブが提供するEC-CUBE 4系には、プラグインインストール時の入力値チェックに不備があり、EC-CUBEの管理者権限を取得した攻撃者によって、任意のPHPパッケージをインストールされる可能性がある。また、旧バージョンのPHPパッケージをインストールされた場合、既知の脆弱性の影響を受ける可能性がある。
JVNでは、開発者が提供する情報をもとに修正パッチを適用するよう呼びかけている。
