JPCERT-AT-2021-0028
JPCERT/CC
2021-06-15
ETUNA(CVE-2021-20735)
配送伝票番号プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5088
配送伝票番号csv一括登録プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5087
配送伝票番号メールプラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5089
株式会社イーシーキューブ(CVE-2021-20742、CVE-2021-20743、CVE-2021-20744)
帳票出力プラグイン バージョン1.0.1をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5091
メルマガ管理プラグイン バージョン1.0.4をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5090
カテゴリコンテンツプラグイン バージョン1.0.1をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5092
ETUNA(CVE-2021-20735)
- 配送伝票番号プラグイン(3.0系)1.0.10およびそれ以前のバージョン
- 配送伝票番号csv一括登録プラグイン(3.0系)1.0.8およびそれ以前のバージョン
- 配送伝票番号メールプラグイン(3.0系)1.0.8およびそれ以前のバージョン
株式会社イーシーキューブ
- 帳票出力プラグイン バージョン1.0.1より前のバージョン - CVE-2021-20742
- メルマガ管理プラグイン バージョン1.0.4より前のバージョン - CVE-2021-20743
- カテゴリコンテンツプラグイン バージョン1.0.1より前のバージョン - CVE-2021-20744
株式会社イーシーキューブによると、脆弱性(CVE-2021-20742、CVE-2021-20743、CVE-2021-20744)はEC-CUBE 3.0.0から3.0.8の環境でのみ発生し、EC-CUBE 3.0.9以降では発生しないとのことです。
ETUNA
- 配送伝票番号プラグイン(3.0系)1.0.11以降のバージョン
- 配送伝票番号csv一括登録プラグイン(3.0系)1.0.9以降のバージョン
- 配送伝票番号プラグイン(3.0系)1.0.9以降のバージョン
株式会社イーシーキューブ
- 帳票出力プラグイン バージョン1.0.1
- メルマガ管理プラグイン バージョン1.0.4
- カテゴリコンテンツプラグイン バージョン1.0.1
Japan Vulnerability Notes JVN#79254445
複数の ETUNA 製 EC-CUBE 用プラグインにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN79254445/
Japan Vulnerability Notes JVN#57524494
複数のイーシーキューブ製 EC-CUBE 用プラグインにおける複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN57524494/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2021-06-15
I. 概要
JPCERT/CCは複数のEC-CUBE 3.0系用プラグインの脆弱性に関する情報を確認しています。該当製品には、クロスサイトスクリプティングの脆弱性があり、悪用された場合、EC-CUBEにアクセスした管理者やユーザーのWebブラウザー上で、任意のスクリプトを実行される可能性があります。詳細は、開発者が提供する情報を参照してください。なお、JPCERT/CCでは、脆弱性(CVE-2021-20735)を悪用した攻撃をすでに確認しています。該当製品を利用している場合は、早期のアップデートを推奨します。ETUNA(CVE-2021-20735)
配送伝票番号プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5088
配送伝票番号csv一括登録プラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5087
配送伝票番号メールプラグイン(3.0系)における脆弱性発覚と対応のお願い(2021/06/11)
https://www.ec-cube.net/release/detail.php?release_id=5089
株式会社イーシーキューブ(CVE-2021-20742、CVE-2021-20743、CVE-2021-20744)
帳票出力プラグイン バージョン1.0.1をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5091
メルマガ管理プラグイン バージョン1.0.4をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5090
カテゴリコンテンツプラグイン バージョン1.0.1をリリースしました。(2021/06/14)
https://www.ec-cube.net/release/detail.php?release_id=5092
II. 対象
対象となる製品とバージョンは次のEC-CUBE 3.0系用プラグインです。ETUNA(CVE-2021-20735)
- 配送伝票番号プラグイン(3.0系)1.0.10およびそれ以前のバージョン
- 配送伝票番号csv一括登録プラグイン(3.0系)1.0.8およびそれ以前のバージョン
- 配送伝票番号メールプラグイン(3.0系)1.0.8およびそれ以前のバージョン
株式会社イーシーキューブ
- 帳票出力プラグイン バージョン1.0.1より前のバージョン - CVE-2021-20742
- メルマガ管理プラグイン バージョン1.0.4より前のバージョン - CVE-2021-20743
- カテゴリコンテンツプラグイン バージョン1.0.1より前のバージョン - CVE-2021-20744
株式会社イーシーキューブによると、脆弱性(CVE-2021-20742、CVE-2021-20743、CVE-2021-20744)はEC-CUBE 3.0.0から3.0.8の環境でのみ発生し、EC-CUBE 3.0.9以降では発生しないとのことです。
III. 対策
開発者より脆弱性を修正する対策済みバージョンが提供されています。対象の製品に対し対策済みバージョンの適用を実施してください。ETUNA
- 配送伝票番号プラグイン(3.0系)1.0.11以降のバージョン
- 配送伝票番号csv一括登録プラグイン(3.0系)1.0.9以降のバージョン
- 配送伝票番号プラグイン(3.0系)1.0.9以降のバージョン
株式会社イーシーキューブ
- 帳票出力プラグイン バージョン1.0.1
- メルマガ管理プラグイン バージョン1.0.4
- カテゴリコンテンツプラグイン バージョン1.0.1
IV. 参考情報
Japan Vulnerability Notes JVN#79254445
複数の ETUNA 製 EC-CUBE 用プラグインにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN79254445/
Japan Vulnerability Notes JVN#57524494
複数のイーシーキューブ製 EC-CUBE 用プラグインにおける複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN57524494/
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp