-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2021-2501
                                                                   JPCERT/CC
                                                                  2021-06-30

            <<< JPCERT/CC WEEKLY REPORT 2021-06-30 >>>

――――――――――――――――――――――――――――――――――――――
■06/20(日)〜06/26(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数のVMware製品に脆弱性
【2】Citrix Hypervisorに複数の脆弱性
【3】EC-CUBEにクロスサイトスクリプティングの脆弱性
【4】WordPress用プラグインWordPress Popular Postsにクロスサイトスクリプティングの脆弱性
【5】WordPress用プラグイン「不動産プラグイン」シリーズにクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】日本発のIoT製品・システムを安全に実装するための国際規格について

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2021/wr212501.html
        https://www.jpcert.or.jp/wr/2021/wr212501.xml
============================================================================


【1】複数のVMware製品に脆弱性

    情報源
      CISA Current Activity
      VMware Releases Security Updates
      https://us-cert.cisa.gov/ncas/current-activity/2021/06/23/vmware-releases-security-updates

    概要
      複数のVMware製品には、脆弱性があります。結果として、第三者が認証を経ず
      に管理者権限を取得したり、管理者権限でコードを実行したりする可能性があ
      ります。

      対象となる製品およびバージョンは次のとおりです。
      - VMware Carbon Black App Control 8.6.2より前のバージョン
      - VMware Carbon Black App Control 8.5.8より前のバージョン
      - VMware Carbon Black App Control 8.1系のバージョン
      - VMware Carbon Black App Control 8.0系のバージョン
      - VMware Tools for Windows 11.2.6より前のバージョン
      - VMware Remote Console for Windows (VMRC for Windows) 12.0.1より前のバージョン
      - VMware App Volumes for Windows 4系 2103より前のバージョン
      - VMware App Volumes for Windows 2.18.10より前のバージョン

      この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、VMwareが提供する情報を参照してください。

    関連文書 (英語)
      VMware
      VMSA-2021-0012
      https://www.vmware.com/security/advisories/VMSA-2021-0012.html

      VMware
      VMSA-2021-0013
      https://www.vmware.com/security/advisories/VMSA-2021-0013.html

【2】Citrix Hypervisorに複数の脆弱性

    情報源
      CISA Current Activity
      Citrix Releases Security Updates for Hypervisor
      https://us-cert.cisa.gov/ncas/current-activity/2021/06/25/citrix-releases-security-updates-hypervisor

    概要
      Citrix Hypervisorには、複数の脆弱性があります。結果として、第三者がサー
      ビス運用妨害（DoS）攻撃を行う可能性があります。

      対象となるバージョンは次のとおりです。

      - Citrix Hypervisor 8.2 LTSR

      この問題は、Citrixが提供する修正済みのバージョンに更新することで解決し
      ます。詳細は、Citrixが提供する情報を参照してください。

    関連文書 (英語)
      Citrix
      Citrix Hypervisor Security Update
      https://support.citrix.com/article/CTX316325

【3】EC-CUBEにクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#95292458
      EC-CUBE における複数のクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN95292458/

    概要
      EC-CUBEには、クロスサイトスクリプティングの脆弱性があります。結果とし
      て、遠隔の第三者が、管理者またはユーザーを細工したページに誘導し、特定
      の操作を実行させることにより、管理者またはユーザーのWebブラウザー上で
      任意のスクリプトを実行する可能性があります。

      対象となるバージョンは次のとおりです。

      - EC-CUBE 3.0.0から3.0.18-p2まで（EC-CUBE 3系）
      - EC-CUBE 4.0.0から4.0.5-p1まで（EC-CUBE 4系）

      この問題は、EC-CUBEを株式会社イーシーキューブが提供するアップデートや
      パッチを適用することで解決します。詳細は、株式会社イーシーキューブが提
      供する情報を参照してください。


    関連文書 (日本語)
      株式会社イーシーキューブ
      EC-CUBE3.0におけるクロスサイトスクリプティングの脆弱性(JVN#95292458)
      https://www.ec-cube.net/info/weakness/weakness.php?id=79

      株式会社イーシーキューブ
      EC-CUBE4.0におけるクロスサイトスクリプティングの脆弱性(JVN#95292458)
      https://www.ec-cube.net/info/weakness/weakness.php?id=78

【4】WordPress用プラグインWordPress Popular Postsにクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#63066062
      WordPress 用プラグイン WordPress Popular Posts におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN63066062/

    概要
      WordPress用プラグインWordPress Popular Postsには、クロスサイトスクリプ
      ティングの脆弱性があります。結果として、遠隔の第三者が、管理者権限を持
      つユーザーのWebブラウザー上でスクリプトを実行する可能性があります。

      対象となるバージョンは次のとおりです。

      - WordPress Popular Posts 5.3.2およびそれ以前のバージョン

      この問題は、本プラグインを開発者が提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (英語)
      Word Press
      WordPress Popular Posts
      https://wordpress.org/plugins/wordpress-popular-posts/

【5】WordPress用プラグイン「不動産プラグイン」シリーズにクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#93799513
      WordPress 用プラグイン「不動産プラグイン」シリーズにおけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN93799513/

    概要
      WordPress用プラグイン「不動産プラグイン」シリーズの一部製品には、クロ
      スサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、
      当該製品を使用しているサイトにアクセスしたユーザーのWebブラウザー上で、
      任意のスクリプトを実行する可能性があります。

      対象となるバージョンは次のとおりです。

      - 不動産プラグイン(本体) ver5.7.0およびそれ以前のバージョン
      - 不動産プラグインPro シングルユーザ ver5.7.0およびそれ以前のバージョン
      - 不動産プラグインPro マルチユーザ ver5.7.0およびそれ以前のバージョン

      この問題は、本プラグインを開発者が提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、開発者が提供する情報を参照してください。

    関連文書 (日本語)
      nendeb biz Market
      不動産プラグインシリーズ ６月のバージョンアップと脆弱性の対応を行いました
      https://www.nendeb-biz.jp/2021-0617-1200/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○日本発のIoT製品・システムを安全に実装するための国際規格について

      日本からISO/IEC JTC 1/SC 41に提案していた、「ISO/IEC 30147:2021
      Internet of Things (IoT) - Integration of IoT trustworthiness
      activities in ISO/IEC/IEEE 15288 system engineering processes」が国際
      標準規格として成立し、2021年5月に出版されました。

      ISO/IEC 30147は、IoT製品やサービスにおけるトラストワージネスの実装・保
      守のためのシステムライフサイクルプロセスを提供するものであり、一般的な
      システムライフサイクルプロセスの国際規格ISO/IEC/IEEE 15288:2015を適用
      ・補完する内容となっています。

      規格提案の背景や規格の内容について、経済産業省や独立行政法人情報処理推
      進機構（IPA）が紹介しています。

    参考文献 (日本語)
      経済産業省
      IoT製品・システムを安全に実装するための国際規格が発行されました
      https://www.meti.go.jp/press/2021/06/20210621004/20210621004.html

      独立行政法人 情報処理推進機構
      IoT製品・サービスにセーフティ・セキュリティ等を実装するプロセスが国際標準として出版　〜日本提案の規格が国際標準化団体ISO/IECにて出版〜
      https://www.ipa.go.jp/ikc/info/20210621.html

    参考文献 (英語)
      国際電気標準会議（IEC）
      ISO/IEC 30147:2021
      https://webstore.iec.ch/publication/62644


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----
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=xRw0
-----END PGP SIGNATURE-----