公開日: 2016/04/26  最終更新日: 2016/04/26

株式会社シロハチからの情報

脆弱性識別番号:JVN#63384827
脆弱性タイトル:株式会社シロハチ製の複数の EC-CUBE 用フリーエリア追加プラグインにおけるクロスサイトスクリプティングの脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

EC-CUBEプラグイン「カテゴリ毎(商品一覧ページ)フリーエリア追加」プラグインにおけるクロスサイトスクリプティングの脆弱性

■概要
オープンソースECサイトパッケージ「ECCUBE」バージョン2.12系向けの機能プラグイン
「カテゴリ毎(商品一覧ページ)フリーエリア追加プラグイン」
にクロスサイトスクリプティングの脆弱性が存在することが判明しました。

この脆弱性を悪用された場合、悪意ある第三者の攻撃により、セッションの乗っ取り、不正なサイトへのリダイレクトなど、不正なプログラムを実行される危険性があります。

この問題の影響を受ける
「カテゴリ毎(商品一覧ページ)フリーエリア追加」プラグイン
のバージョンを以下に示しますので、以下の修正プログラムを適用してください。

■該当製品の確認方法

影響を受ける製品は以下の製品です。
製品名称:「カテゴリ毎(商品一覧ページ)フリーエリア追加」プラグイン
該当バージョン:1.0

使用しているバージョン番号の確認方法は以下の通りです。

1.ECCUBE管理画面にログインします。
2.ヘッダーメニューのオーナーズストア>プラグイン管理>プラグイン管理を開きます。
3.ECCUBEでご利用になっているプラグイン一覧表示の当該プラグイン名称の後ろに記載されている番号がバージョン番号です。
4.バージョン番号が「1.0」となっている場合は当該、脆弱性が存在するプラグインですので、速やかにアップデート頂きますよう宜しくお願い申し上げます。
アップデート後はバージョン番号の表示が「1.1」となっている事を確認してください。


■脆弱性の説明

クロスサイトスクリプティングによる不正なプログラムの実行

■脆弱性がもたらす脅威

セッションの乗っ取り、不正なサイトへのリダイレクトされる可能性があります。

■対策方法(対策済み製品へのアップデート方法)
1.ECCUBE管理画面にログインします。
2.ヘッダーメニューのオーナーズストア>プラグイン管理>プラグイン管理を開きます。
3.ECCUBEでご利用になっているプラグイン一覧表示の当該プラグイン名称の後ろに記載されている番号が「1.0」となっている場合は、「プラグイン設定」項目の「アップデート」のテキストリンクをクリックしてアップデートを実施して下さい。
アップデート実施の際にはECCUBEオーナーズストアへのログインが必要になる場合がありますので、画面案内に従ってオーナーズストアへログインしてください。
4.アップデートの完了後、バージョン番号が「1.1」になっている事を確認してください。


■関連情報
別途配布中のECUBEプラグイン「商品毎(商品詳細ページ)フリーエリア追加」プラグインVer1.0につきましても、同様脆弱性が存在しますので、適用ご利用中の場合速やかなアップデートをお願い申し上げます。

商品毎(商品詳細ページ)フリーエリア追加プラグイン
配布サイトURL:http://www.ec-cube.net/products/detail.php?product_id=506

■謝辞
弊社リリースのプラグインにつきまして、この問題をご報告いただき誠にありがとうございました。
この場をかりてお礼申し上げます。
尚、不具合等の発生を未然に防ぐべく、製品開発テスト等善処してまいりますが未知の不具合等御座いました際にはご指摘承りますよう、今後とも宜しくお願い申し上げます。


■連絡先
脆弱性連絡窓口
メール:kikaku@shiro8.net