LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

注意喚起 | 

EC-CUBE における情報漏えいの脆弱性

LAC Advisory No.115

Problem first discovered on: Tue, 22 Oct 2013
Published on: Wed, 20 Nov 2013

脅威度

概要

EC-CUBE には、情報漏えいの脆弱性が存在します。

詳細

株式会社ロックオンが提供する EC-CUBE は、オープンソースのショッピングサイト構築システムです。EC-CUBE には、フロント機能の処理の問題に起因する情報漏えいの脆弱性が存在します。

会員の登録配送先を管理する画面(内部処理をおこなっているヘルパークラスSC_Helper_Address.php)において、適切な妥当性のチェックがおこなわれていませんでした。このため、ショッピングサイト利用者によって、他の利用者の登録情報(お届け先情報)を取得されたり、改ざん・削除されたりする恐れがあります。

影響を受けるバージョン

  • EC-CUBE 2.12.3
  • EC-CUBE 2.12.3en
  • EC-CUBE 2.12.3enP1
  • EC-CUBE 2.12.3enP2
  • EC-CUBE 2.12.4
  • EC-CUBE 2.12.4en
  • EC-CUBE 2.12.5
  • EC-CUBE 2.12.5en
  • EC-CUBE 2.12.6
  • EC-CUBE 2.12.6en
  • EC-CUBE 2.13.0

対策

開発者が提供する情報をもとに、最新版へアップデートもしくは修正ファイルを適用してください。

[ベンダ情報]

http://www.ec-cube.net/info/weakness/weakness.php?id=51

http://www.ec-cube.net/info/weakness/20131119/index.php

発見者

ペンテスト技術部(ラック)


謝辞:
本問題は、ラックから開発者に報告し、情報セキュリティ早期警戒パートナーシップに基づき JPCERT/CC により開発者との調整が行われました。

http://jvn.jp/jp/JVN55630933/index.html

http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000106.html

CVE番号:
CVE-2013-5995

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5995

この記事は役に立ちましたか?

はい いいえ