EC-CUBE4.0系にXSSの脆弱性(攻撃被害を確認済み)
EC-CUBE本体
CVE-2023-22438/25077/22838
2023年2月28日
対象:4.0.0から4.2.0
修正ファイルの適用orバージョンアップ
想定される 影響
プラグインの脆弱性により、Webサイトの利用者が下記のような被害に遭う可能性があります。
■被害例
- 「なりすまし」によるネットバンクの不正出金やSNSアカウントが乗っ取られる
- 偽のログイン画面に誘導し、IDとパスワード、クレジットカード番号を入力させ、個人情報を盗取される
- 偽のページを表示させ、不正なプログラムをダウンロードするよう促し、マルウェア(悪意のあるプログラム)に感染させ、端末内に保存したログイン情報、個人情報を盗取される
対象となる バージョン
EC-CUBE 4.0.0~4.0.6-p2
EC-CUBE 4.1.0~4.1.2-p1
EC-CUBE 4.2.0
VulnerabilityEC-CUBE脆弱性
危険度ランキング
2021年5月7日
対象:4.0.0から4.0.5
修正ファイルの適用orバージョンアップ
2021年6月29日
対象:4.0.6
修正ファイルの適用
2023年2月28日
対象:4.0.0から4.2.0
修正ファイルの適用orバージョンアップ
2022年5月13日
対象:1.0.1 以下
バージョンアップ