その他作業 #10422
closedEC-CUBE 脆弱性対応
100%
淳山 Updated by 淳 山口 over 1 year ago · Edited
EC-CUBE パートナー各位
いつもお世話になっております。
株式会社イーシーキューブ EC-CUBE運営チームです。
本メールは、EC-CUBE 4系、及びEC-CUBE公式プラグインの脆弱性についての
ご連絡です。
内容をご確認の上、該当環境をご利用のお客様が速やかなご対応をしていただけるよう、
みなさまのご協力をお願いいたします。
※ 本脆弱性における被害報告は現時点でございません。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
みなさまへのお願い
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本情報は一般公表前の脆弱性情報となります。
EC-CUBE公式サイトへの掲載・一般公表は2024年7月29日(月)を予定しております。
※JPCERT/CCと調整中のため変更になる可能性がございます。
一般公表日以前に本情報がSNSなど外部に流出した場合は、一般公開を前倒しする
可能性もございます。あらかじめご理解をお願いいたします。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
脆弱性の内容について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
この度、EC-CUBE4系本体、及びEC-CUBE公式プラグインに関してそれぞれ1件ずつ
緊急度 低の脆弱性が発見されましたのでご報告いたします。
ec-cube.coの環境にはすでに本メールで告知している脆弱性について修正を適用
しています。
なお、それぞれの脆弱性における被害報告は現時点でございません。
今後も定期的に脆弱性診断を実施し、セキュリティ向上をはかってまいります。
また、引き続きコミュニティの皆様からのご報告もお待ちしております。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE4系本体の脆弱性について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE4系における任意のPHPパッケージがインストール可能な脆弱性
危険度:
低(管理画面にログインできることが攻撃成立の前提であるため)
不具合が存在するEC-CUBEのバージョン:
4.0.0?4.0.6-p4
4.1.0?4.1.2-p3
4.2.0~4.2.3
詳細情報サイト
https://i.r.cbz.jp/cc/pl/euca3396/k8y4dej2czl8/pa15rnhr/
id: weakness20240701
password: m5gf42AS9rHX3OizZXwN
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE公式プラグインの脆弱性について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE公式プラグイン「EC-CUBE Web API プラグイン」におけるクロスサイトスクリプティングの脆弱性
危険度:
低(管理画面にログインできることが攻撃成立の前提であるため)
不具合が存在する「EC-CUBE Web API プラグイン」のバージョン:
1.0.0、2.1.0?2.1.3 (EC-CUBE 4.0系/4.1系対応)
4.2.0?4.2.3 (EC-CUBE 4.2系対応)
詳細情報サイト
https://i.r.cbz.jp/cc/pl/euca3396/z7prb6o439bq/pa15rnhr/
id: weakness20240701
password: m5gf42AS9rHX3OizZXwN
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
今後の公表スケジュールについて
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本脆弱性については、下記の通り一般公開を予定しております。
▽2024年7月17日(水)
公式サイトでの脆弱性情報の公開(限定公開) ※本件
▽2024年7月29日(月)
公式サイトでの脆弱性情報の公開(一般公開)
※JPCERT/CCと調整中のため変更になる可能性がございます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティに関する注意喚起
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBEを安全にご利用いただくためには、ご利用の環境にあわせて正しくセット
アップされていること、既知の脆弱性などのパッチ適用またはバージョンアップ
されていることが大切です。
セキュリティ対策について、特設ページを開設しております。
https://www.ec-cube.net/info/security/
チェック方法から対応方法まで、セキュリティ対策の流れをご案内していますので、
あわせてご確認いただけますようお願いいたします。
また、過去にご報告いたしました脆弱性についても、この機会に再度ご確認をお願い
いたします。
https://www.ec-cube.net/info/weakness/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
お問い合わせ先
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE 運営チーム
メール:support@ec-cube.net
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
EC-CUBE運営チーム
E-mail support@ec-cube.net
EC-CUBEオフィシャルサイト:https://www.ec-cube.net/
EC-CUBE開発コミュニティ:https://xoops.ec-cube.net/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
淳山 Updated by 淳 山口 over 1 year ago · Edited
- Assignee set to 直美 小倉
淳山 Updated by 淳 山口 over 1 year ago · Edited
- Due date set to 10/11/2024
- Start date changed from 09/17/2024 to 10/07/2024
菜岡 Updated by 菜摘 岡崎 over 1 year ago · Edited
- Assignee changed from 直美 小倉 to 菜摘 岡崎
- % Done changed from 0 to 90
菜岡 Updated by 菜摘 岡崎 over 1 year ago · Edited
- Status changed from 未着手 to 対応中
淳山 Updated by 淳 山口 over 1 year ago · Edited
- Status changed from 対応中 to 対応確認完了
- % Done changed from 90 to 100