EC-CUBE 3.0のプラグインに脆弱性があって、CVE-2021-20735 クロスサイトスクリプティングで悪用確認されているそうなので、利用されている場合はご注意ください。
情報元はこちら。
【セキュリティ ニュース】「EC-CUBE 3.0」向け複数プラグインに脆弱性 - 一部はすでに悪用も(1ページ目 / 全2ページ):Security NEXT
イーシーキューブが提供するeコマースプラットフォーム「EC-CUBE 3.0」向けのプラグイン6件に脆弱性が明らかとなり、一部はすでに悪用が確認されているとあります。
注意喚起を行ったJPCERTコーディネーションセンターによれば、2ベンダーが提供するプラグイン6件に脆弱性が明らかとなったもの。いずれも「クロスサイトスクリプティング(XSS)」の脆弱性で、悪用されると「EC-CUBE」にアクセスした管理者やユーザーのブラウザ上で任意のスクリプトを実行される可能性がある。
サードパーティのETUNAが提供するプラグイン「配送伝票番号プラグイン」 「配送伝票番号csv一括登録プラグイン」「配送伝票番号メールプラグイン」では、共通の脆弱性「CVE-2021-20735」が判明した。
管理画面へアクセスした際にブラウザ上で任意のスクリプトを実行されるおそれがある。共通脆弱性評価システム「CVSSv3.0」におけるベーススコアは「6.1」。同脆弱性は、すでに悪用が確認されているという。
JPCERTの情報です。
複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起
JPCERT/CCは複数のEC-CUBE 3.0系用プラグインの脆弱性に関する情報を確認しています。該当製品には、クロスサイトスクリプティングの脆弱性があり、悪用された場合、EC-CUBEにアクセスした管理者やユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性があります。詳細は、開発者が提供する情報を参照してください。なお、JPCERT/CCでは、脆弱性(CVE-2021-20735)を悪用した攻撃をすでに確認しています。該当製品を利用している場合は、早期のアップデートを推奨します。
ETUNA(CVE-2021-20735)
配送伝票番号プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5088配送伝票番号csv一括登録プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5087配送伝票番号メールプラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5089株式会社イーシーキューブ(CVE-2021-20742、CVE-2021-20743、CVE-2021-20744)
帳票出力プラグイン バージョン1.0.1をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5091メルマガ管理プラグイン バージョン1.0.4をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5090カテゴリコンテンツプラグイン バージョン1.0.1をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5092
脆弱性を修正する対策済みバージョンが提供されていますので、直ちに適用したほうがいいですね。
