-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2021-0028
                                                             JPCERT/CC
                                                            2021-06-15

                  <<< JPCERT/CC Alert 2021-06-15 >>>

     複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2021/at210028.html

I. 概要
JPCERT/CCは複数のEC-CUBE 3.0系用プラグインの脆弱性に関する情報を確認し
ています。該当製品には、クロスサイトスクリプティングの脆弱性があり、悪
用された場合、EC-CUBEにアクセスした管理者やユーザーのWebブラウザー上で、
任意のスクリプトを実行される可能性があります。詳細は、開発者が提供する
情報を参照してください。
なお、JPCERT/CCでは、脆弱性（CVE-2021-20735）を悪用した攻撃をすでに確
認しています。該当製品を利用している場合は、早期のアップデートを推奨し
ます。

    ETUNA（CVE-2021-20735）
    配送伝票番号プラグイン(3.0系)における脆弱性発覚と対応のお願い（2021/06/11）
    https://www.ec-cube.net/release/detail.php?release_id=5088

    配送伝票番号csv一括登録プラグイン(3.0系)における脆弱性発覚と対応のお願い（2021/06/11）
    https://www.ec-cube.net/release/detail.php?release_id=5087

    配送伝票番号メールプラグイン(3.0系)における脆弱性発覚と対応のお願い（2021/06/11）
    https://www.ec-cube.net/release/detail.php?release_id=5089

    株式会社イーシーキューブ（CVE-2021-20742、CVE-2021-20743、CVE-2021-20744）
    帳票出力プラグイン バージョン1.0.1をリリースしました。（2021/06/14）
    https://www.ec-cube.net/release/detail.php?release_id=5091
    
    メルマガ管理プラグイン バージョン1.0.4をリリースしました。（2021/06/14）
    https://www.ec-cube.net/release/detail.php?release_id=5090
    
    カテゴリコンテンツプラグイン バージョン1.0.1をリリースしました。（2021/06/14）
    https://www.ec-cube.net/release/detail.php?release_id=5092


II. 対象
対象となる製品とバージョンは次のEC-CUBE 3.0系用プラグインです。

ETUNA（CVE-2021-20735）
  - 配送伝票番号プラグイン（3.0系）1.0.10およびそれ以前のバージョン
  - 配送伝票番号csv一括登録プラグイン（3.0系）1.0.8およびそれ以前のバージョン
  - 配送伝票番号メールプラグイン（3.0系）1.0.8およびそれ以前のバージョン

株式会社イーシーキューブ
  - 帳票出力プラグイン バージョン1.0.1より前のバージョン - CVE-2021-20742
  - メルマガ管理プラグイン バージョン1.0.4より前のバージョン - CVE-2021-20743
  - カテゴリコンテンツプラグイン バージョン1.0.1より前のバージョン - CVE-2021-20744
  
株式会社イーシーキューブによると、脆弱性（CVE-2021-20742、CVE-2021-20743、
CVE-2021-20744）はEC-CUBE 3.0.0から3.0.8の環境でのみ発生し、EC-CUBE 3.0.9
以降では発生しないとのことです。


III. 対策
開発者より脆弱性を修正する対策済みバージョンが提供されています。対
象の製品に対し対策済みバージョンの適用を実施してください。

ETUNA
  - 配送伝票番号プラグイン（3.0系）1.0.11以降のバージョン
  - 配送伝票番号csv一括登録プラグイン（3.0系）1.0.9以降のバージョン
  - 配送伝票番号プラグイン（3.0系）1.0.9以降のバージョン

株式会社イーシーキューブ
  - 帳票出力プラグイン バージョン1.0.1
  - メルマガ管理プラグイン バージョン1.0.4
  - カテゴリコンテンツプラグイン バージョン1.0.1


IV. 参考情報
    Japan Vulnerability Notes JVN#79254445
    複数の ETUNA 製 EC-CUBE 用プラグインにおけるクロスサイトスクリプティングの脆弱性
    https://jvn.jp/jp/JVN79254445/

    Japan Vulnerability Notes JVN#57524494
    複数のイーシーキューブ製 EC-CUBE 用プラグインにおける複数のクロスサイトスクリプティングの脆弱性
    https://jvn.jp/jp/JVN57524494/


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=QUR9
-----END PGP SIGNATURE-----