-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2021-0022
                                                             JPCERT/CC
                                                            2021-05-10

                  <<< JPCERT/CC Alert 2021-05-10 >>>

 EC-CUBEのクロスサイトスクリプティングの脆弱性（CVE-2021-20717）に関する注意喚起

            https://www.jpcert.or.jp/at/2021/at210022.html


I. 概要
2021年5月7日、株式会社イーシーキューブから、EC-CUBEのクロスサイトスク
リプティングの脆弱性（CVE-2021-20717）に関する注意喚起が公開されました。
脆弱性が悪用された場合、ECサイトの管理者のブラウザー上で任意のスクリプ
トが実行され、結果としてECサイトへの不正アクセスや個人情報の窃取などが
行われる可能性があります。株式会社イーシーキューブによると、本脆弱性を
悪用した攻撃を確認しているとのことです。

    EC-CUBE 4.0系: クロスサイトスクリプティング脆弱性について
    https://www.ec-cube.net/info/weakness/20210507/

すでに攻撃に悪用されていることから、該当する製品を利用している場合には、
早期にパッチ適用などの対応の実施を推奨します。詳細は、株式会社イーシー
キューブが提供する情報をご確認ください。
なお対策にあたっては、構築を担当された事業者にも連絡をとり対応を進める
ことも検討してください。


II. 対象
対象となる製品とバージョンは次のとおりです。

  - EC-CUBE バージョン4.0.0から4.0.5まで


III. 対策
株式会社イーシーキューブから、本脆弱性を修正するパッチおよび対策済みバー
ジョンが提供されています。対象の製品に対しパッチまたは対策済みバージョン
の適用を実施してください。

  - EC-CUBE バージョン4.0.5-p1

また、EC-CUBE本体のソースコードをカスタマイズしているユーザー向けにコー
ド差分情報や適用時の注意に関する情報が説明されています。

    修正方法2: 修正差分を確認して適宜反映する場合
    https://www.ec-cube.net/info/weakness/20210507/#diff


IV. 侵害有無の調査
本脆弱性を悪用した攻撃をすでに受けているか確認する方法について、株式会
社イーシーキューブから情報が公開されており、受注情報や会員情報を確認す
る方法が紹介されています。

    攻撃の確認方法
    https://www.ec-cube.net/info/weakness/20210507/#check


V. 参考情報
    株式会社イーシーキューブ
    【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性発覚と対応のお願い(2021/5/10 9:00 更新)（2021/05/07）
    https://www.ec-cube.net/news/detail.php?news_id=383

    株式会社イーシーキューブ
    脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース（2021/05/10）
    https://www.ec-cube.net/news/detail.php?news_id=384

    Japan Vulnerability Notes JVN#97554111
    EC-CUBE におけるクロスサイトスクリプティングの脆弱性
    https://jvn.jp/jp/JVN97554111/

今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp


-----BEGIN PGP SIGNATURE-----
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=lx4d
-----END PGP SIGNATURE-----