中小企業の経営者・総務担当者様向け/セキュリティ情報サイト
EC-CUBE4.0系にXSSの脆弱性(攻撃被害を確認済み)
危険度
7.1
EC-CUBE本体
JVNDB-2021-000035 2021年5月7日
対象:4.0.0から4.0.5 修正ファイルの適用orバージョンアップ
想定される 影響

プラグインの脆弱性により、Webサイトの利用者が下記のような被害に遭う可能性があります。

 

■被害例

  • 「なりすまし」によるネットバンクの不正出金やSNSアカウントが乗っ取られる
  • 偽のログイン画面に誘導し、IDとパスワード、クレジットカード番号を入力させ、個人情報を盗取される
  • 偽のページを表示させ、不正なプログラムをダウンロードするよう促し、マルウェア(悪意のあるプログラム)に感染させ、端末内に保存したログイン情報、個人情報を盗取される
対象となる バージョン

EC-CUBE 4.0.0から4.0.5

対策

1. EC-CUBE公式サイトにて提供されている修正ファイルを適用

2. EC-CUBEのバージョンアップ

VulnerabilityEC-CUBE脆弱性
危険度ランキング

EC-CUBE本体

危険度

7.1

2021年5月7日
対象:4.0.0から4.0.5 修正ファイルの適用orバージョンアップ
EC-CUBE4.0系にXSSの脆弱性(攻撃被害を確認済み)

危険度

6.1

2021年6月29日
対象:4.0.6 修正ファイルの適用
EC-CUBE 4.0.6 にてアクセス制限不備の脆弱性(XSS)

危険度

5.4

2023年2月28日
対象:4.0.0から4.2.0 修正ファイルの適用orバージョンアップ
EC-CUBE4.0系にXSSの脆弱性(攻撃被害を確認済み)
EC-CUBEプラグイン

危険度

4.3

2022年5月13日
対象:1.0.1 以下 バージョンアップ
「簡単ブログ for EC-CUBE4」に脆弱性(CSRF)
すべて見る