|
[English]
|
JVNDB-2023-000019
|
EC-CUBE における複数のクロスサイトスクリプティングの脆弱性
|
|
株式会社イーシーキューブが提供する EC-CUBE には、次に挙げる複数のクロスサイトスクリプティングの脆弱性が存在します。
・コンテンツ管理におけるクロスサイトスクリプティング (CWE-79) - CVE-2023-22438
・認証キー設定におけるクロスサイトスクリプティング (CWE-79) - CVE-2023-25077
・商品一覧および商品詳細におけるクロスサイトスクリプティング (CWE-79) - CVE-2023-22838
CVE-2023-22438
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 三井物産セキュアディレクション株式会社 望月岳 氏,白倉大河 氏、株式会社ブロードバンドセキュリティ 志賀 拓馬 氏
CVE-2023-25077
この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社サイバーディフェンス研究所 岩崎 徳明 氏
CVE-2023-22838
この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 日本工業大学 データサイエンス学科 橋浦研究室 高橋 黎 氏
|
|
CVSS v3 による深刻度
基本値: 5.4 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 低
- 完全性への影響(I): 低
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 3.5 (注意) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 単一
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
※上記は、CVE-2023-22438の評価になります。
|
CVSS v3 による深刻度
基本値: 5.4 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 低
- 完全性への影響(I): 低
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 3.5 (注意) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 単一
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
※上記は、CVE-2023-25077の評価になります。
|
CVSS v3 による深刻度
基本値: 5.4 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 低
- 完全性への影響(I): 低
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 3.5 (注意) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 単一
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
※上記は、CVE-2023-22838の評価になります。
|
|
|
株式会社イーシーキューブ
- EC-CUBE 4.0.0 から 4.0.6-p2 (EC-CUBE 4系) (CVE-2023-22438)
- EC-CUBE 4.1.0 から 4.1.2-p1 (EC-CUBE 4系) (CVE-2023-22438)
- EC-CUBE 4.2.0 (EC-CUBE 4系) (CVE-2023-22438)
- EC-CUBE 3.0.0 から 3.0.18-p5 (EC-CUBE 3系) (CVE-2023-22438)
- EC-CUBE 2.11.0 から 2.11.5 (EC-CUBE 2系) (CVE-2023-22438)
- EC-CUBE 2.12.0 から 2.12.6 (EC-CUBE 2系) (CVE-2023-22438)
- EC-CUBE 2.13.0 から 2.13.5 (EC-CUBE 2系) (CVE-2023-22438)
- EC-CUBE 2.17.0 から 2.17.2 (EC-CUBE 2系) (CVE-2023-22438)
- EC-CUBE 4.0.0 から 4.0.6-p2 (EC-CUBE 4系) (CVE-2023-25077, CVE-2023-22838)
- EC-CUBE 4.1.0 から 4.1.2-p1 (EC-CUBE 4系) (CVE-2023-25077, CVE-2023-22838)
- EC-CUBE 4.2.0 (EC-CUBE 4系) (CVE-2023-25077, CVE-2023-22838)
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
・当該製品の管理画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2023-22438、CVE-2023-25077
・当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2023-22838
|
|
[アップデートする]
開発者が提供する情報をもとに最新版にアップデートしてください。
開発者は、本脆弱性を修正した EC-CUBE 4.2.1 をリリースしています。
[パッチを適用する]
開発者はアップデートを適用できないユーザに向け、修正パッチを提供しています。
詳しくは開発者が提供する情報をご確認ください。
|
|
株式会社イーシーキューブ
|
|
- クロスサイトスクリプティング(CWE-79) [IPA評価]
|
|
- CVE-2023-22438
- CVE-2023-25077
- CVE-2023-22838
|
|
- JVN : JVN#04785663
|
|
|
