Japan Vulnerability Notes JVN#79254445
複数の ETUNA 製 EC-CUBE 用プラグインにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN79254445/

Japan Vulnerability Notes JVN#57524494
複数のイーシーキューブ製 EC-CUBE 用プラグインにおける複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN57524494/

概要

複数のEC-CUBE 3.0系用プラグインには、複数のクロスサイトスクリプティン
グの脆弱性があります。結果として、遠隔の第三者がECサイトの管理者のWeb
ブラウザー上で、任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは次のとおりです。

- 配送伝票番号プラグイン(3.0系) 1.0.10およびそれ以前のバージョン
- 配送伝票番号csv一括登録プラグイン(3.0系) 1.0.8およびそれ以前のバージョン
- 配送伝票番号メールプラグイン(3.0系) 1.0.8およびそれ以前のバージョン
- 帳票出力プラグイン バージョン1.0.1より前のバージョン
- メルマガ管理プラグイン バージョン1.0.4より前のバージョン
- カテゴリコンテンツプラグイン バージョン1.0.1より前のバージョン

この問題は、本プラグインを各開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、各開発者が提供する情報を参照してください。

【2】GROWIに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#95457785
GROWI における複数の脆弱性
https://jvn.jp/jp/JVN95457785/

概要

GROWIには、複数の脆弱性があります。結果として、当該製品にアクセス可能
なユーザーが、データベース内の情報を窃取したり、改ざんしたりするなどの
可能性があります。

対象となるバージョンは次のとおりです。

- GROWI v4.2.20より前のバージョン

この問題は、該当する製品を株式会社WESEEKが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社WESEEKが提供する情報を参照
してください。

【3】複数のCisco製品に脆弱性

情報源

CISA Current Activity
Cisco Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2021/06/17/cisco-releases-security-updates-multiple-products

概要

複数のCisco製品には、脆弱性があります。結果として、遠隔の第三者が任意
のコマンドを実行するなどの可能性があります。

対象となる製品は、多岐にわたります。詳細はCiscoが提供するアドバイザリ
情報を参照してください。

この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Ciscoが提供する情報を参照してください。

【4】Mozilla Firefoxに境界外読み取りの脆弱性

情報源

Mozilla
Security Vulnerabilities fixed in Firefox 89.0.1
https://www.mozilla.org/en-US/security/advisories/mfsa2021-27/

概要

Mozilla Firefoxには、境界外読み取りの脆弱性があります。

対象となるバージョンは次のとおりです。

- Firefox 89.0.1より前のバージョン（Windows版）

この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新
することで解決します。詳細は、Mozillaが提供する情報を参照してください。

【5】Apache HTTP Web Serverに複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#96037838
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU96037838/

概要

Apache HTTP Web Serverには、複数の脆弱性があります。結果として、第三者
がサービス運用妨害（DoS）攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

- Apache HTTP Web Server 2.4.48より前のバージョン

この問題は、該当する製品をThe Apache Software Foundationが提供する修正
済みのバージョンに更新することで解決します。詳細は、The Apache Software
Foundationが提供する情報を参照してください。

【6】Google Chromeに複数の脆弱性

情報源

CISA Current Activity
Google Releases Security Updates for Chrome
https://us-cert.cisa.gov/ncas/current-activity/2021/06/18/google-releases-security-updates-chrome

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 91.0.4472.114より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【7】myQNAPcloud Linkに重要な情報が安全に格納されていない脆弱性

情報源

QNAP
Insecure Storage of Sensitive Information in myQNAPcloud Link
https://www.qnap.com/en/security-advisory/qsa-21-26

概要

myQNAPcloud Linkには、重要な情報が安全に格納されていない脆弱性がありま
す。結果として、遠隔の第三者が機密情報を窃取する可能性があります。

対象となるバージョンは次のとおりです。

- QTS 4.5.3: myQNAPcloud Link 2.2.21およびそれ以前
- QuTS hero h4.5.2: myQNAPcloud Link 2.2.21およびそれ以前
- QuTScloud c4.5.4: myQNAPcloud Link 2.2.21およびそれ以前

この問題は、myQNAPcloud LinkをQNAP Systemsが提供する修正済みのバージョン
に更新することで解決します。詳細は、QNAP Systemsが提供する情報を参照し
てください。

【8】Apple iOSに複数の脆弱性

情報源

CISA Current Activity
Apple Releases Security Updates for iOS 12.5.4
https://us-cert.cisa.gov/ncas/current-activity/2021/06/15/apple-releases-security-updates-ios-1254

概要

iOSには、複数の脆弱性があります。結果として、第三者が任意のコードを実
行する可能性があります。

対象となるバージョンは次のとおりです。

- iOS 12.5.4より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

【9】Androidアプリ「あすけん」にアクセス制限不備の脆弱性

情報源

Japan Vulnerability Notes JVN#38034268
Android アプリ「あすけん」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN38034268/

概要

Androidアプリ「あすけん」には、アクセス制限不備の脆弱性があります。結
果として、遠隔の第三者が当該製品を経由し任意のWebサイトにアクセスさせ
る可能性があります。

対象となるバージョンは次のとおりです。

- Androidアプリ「あすけん」 v.3.0.0からv.4.2.xまでのバージョン

この問題は、該当する製品を株式会社 askenが提供する修正済みのバージョン
に更新することで解決します。詳細は、株式会社 askenが提供する情報を参照
してください。

【10】Hitachi Application Serverヘルプにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#03776901
Hitachi Application Server ヘルプにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN03776901

概要

Hitachi Application Serverヘルプには、クロスサイトスクリプティングの脆
弱性があります。結果として、遠隔の第三者が当該製品にアクセスしているユー
ザーのWebブラウザー上で、任意のスクリプトを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Hitachi Application Server V10 マニュアル (Windows用) バージョン10-11-01およびそれ以前
- Hitachi Application Server V10 マニュアル (UNIX用) バージョン10-11-01およびそれ以前

この問題は、該当する製品を日立が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、日立が提供する情報を参照してください。

【11】日立仮想ファイルプラットフォーム製品にOSコマンドインジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#21298724
日立仮想ファイルプラットフォーム製品における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN21298724

概要

日立仮想ファイルプラットフォーム製品には、OSコマンドインジェクションの
脆弱性があります。結果として、当該製品にログイン可能な第三者がroot権限
で任意のOSコマンドを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Hitachi Virtual File Platform 5.5.3-09より前のバージョン
- Hitachi Virtual File Platform 6.4.3-09より前のバージョン

また、当該製品を使用している以下の製品も本脆弱性の影響を受けます。
- 日本電気株式会社製 iStorage Mシリーズ NASオプション Nh4a/Nh8a FOS 5.5.3-08(NEC2.5.4a)より前のバージョン
- 日本電気株式会社製 iStorage Mシリーズ NASオプション Nh4b/Nh8b、Nh4c/Nh8c FOS 6.4.3-08(NEC3.4.2)より前のバージョン

この問題は、該当する製品を各開発者が提供する修正済みのバージョンに更新
することで解決します。詳細は、各開発者が提供する情報を参照してください。

■今週のひとくちメモ

○「TRANSITS Workshop Online 2021 Summer」開催のお知らせ

2021年8月19日（木）、8月20日（金）の2日間にわたり、「TRANSITS Workshop
Online 2021 Summer」がオンライン上で開催されます。日本シーサート協議会
が主催する本イベントは、CSIRTの設立の促進、既存のCSIRTの対応能力向上を
目的としたプロジェクト「TRANSITS」によるトレーニングを行い、CSIRT業務
に必要な知識を身につけることを目的としています。JPCERT/CCは本イベント
での講演、および運営に協力しています。

参加には事前申し込みが必要です。参加登録は申込先着順で、定員になり次第
締め切りとなります。詳しくはWebを参照してください。

参考文献 (日本語)

日本シーサート協議会（日本コンピュータセキュリティインシデント対応チーム協議会）
TRANSITS Workshop Online 2021 Summer開催
https://www.nca.gr.jp/2021/transits-summer/

■JPCERT/CCからのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2021-06-23号

<<< JPCERT/CC WEEKLY REPORT 2021-06-23 >>>

■06/13(日)〜06/19(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○「TRANSITS Workshop Online 2021 Summer」開催のお知らせ

参考文献 (日本語)

■JPCERT/CCからのお願い

目　次