【重要】弊社プラグイン脆弱性に関するお知らせ

弊社配布中のオープンソースECサイト構築パッケージ「ECCUBE」向けプラグインにつきまして、クロスサイトスクリプティングの脆弱性が見つかりましたので、以下の通りご報告及び対策方法をお知らせいたします。

尚、対策済みアップデート版は本日より公開配布しておりますので、ご利用中の方は大変お手数ですが、下記の手順でECCUBE管理画面よりプラグインアップデート頂きますよう、宜しくお願い申し上げます。

【ご注意】
プラグイン及びプラグインアップデートはECCUBEデフォルト状態に対してのみテスト、検証を行っております。
デフォルト以外の何らかのカスタマイズ施工がある場合や他のプラグイン競合等による影響につきましては、サイト構築及びカスタマイズされた内容を検証の上、適用頂きますよう宜しくお願い申し上げます。
※デフォルト状態以外への適用につきましての動作保証は出来ませんのでご理解の程宜しくお願い申し上げます。

 

■概要
オープンソースECサイトパッケージ「ECCUB」バージョン「2.12系」向けの機能プラグイン

「カテゴリ毎(商品一覧ページ)フリーエリア追加プラグイン」

にクロスサイトスクリプティングの脆弱性が存在することが判明しました。

この脆弱性を悪用された場合、悪意ある第三者の攻撃により、セッションの乗っ取り、不正なサイトへのリダイレクトなど、不正なプログラムを実行される危険性があります。

この問題の影響を受ける
「カテゴリ毎(商品一覧ページ)フリーエリア追加」プラグイン
のバージョンを以下に示しますので、以下の修正プログラムを適用してください。

■該当製品の確認方法

影響を受ける製品は以下の製品です。
製品名称:「カテゴリ毎(商品一覧ページ)フリーエリア追加」プラグイン
該当バージョン:1.0

使用しているバージョン番号の確認方法は以下の通りです。

1.ECCUBE管理画面にログインします。
2.ヘッダーメニューのオーナーズストア>プラグイン管理>プラグイン管理を開きます。
3.ECCUBEでご利用になっているプラグイン一覧表示の当該プラグイン名称の後ろに記載されている番号がバージョン番号です。
4.バージョン番号が「1.0」となっている場合は当該、脆弱性が存在するプラグインですので、速やかにアップデート頂きますよう宜しくお願い申し上げます。
アップデート後はバージョン番号の表示が「1.1」となっている事を確認してください。

■脆弱性の説明

クロスサイトスクリプティングによる不正なプログラムの実行

■脆弱性がもたらす脅威

セッションの乗っ取り、不正なサイトへのリダイレクトされる可能性があります。

■対策方法(対策済み製品へのアップデート方法)
1.ECCUBE管理画面にログインします。
2.ヘッダーメニューのオーナーズストア>プラグイン管理>プラグイン管理を開きます。
3.ECCUBEでご利用になっているプラグイン一覧表示の当該プラグイン名称の後ろに記載されている番号が「1.0」となっている場合は、「プラグイン設定」項目の「アップデート」のテキストリンクをクリックしてアップデートを実施して下さい。
アップデート実施の際にはECCUBEオーナーズストアへのログインが必要になる場合がありますので、画面案内に従ってオーナーズストアへログインしてください。
4.アップデートの完了後、バージョン番号が「1.1」になっている事を確認してください。

■関連情報
別途配布中のECUBEプラグイン「商品毎(商品詳細ページ)フリーエリア追加」プラグインVer1.0につきましても、同様脆弱性が存在しますので、適用ご利用中の場合速やかなアップデートをお願い申し上げます。

商品毎(商品詳細ページ)フリーエリア追加プラグイン
配布サイトURL:http://www.ec-cube.net/products/detail.php?product_id=506

■謝辞
弊社リリースのプラグインにつきまして、この問題をご報告いただき誠にありがとうございました。
この場をかりてお礼申し上げます。
尚、不具合等の発生を未然に防ぐべく、製品開発テスト等善処してまいりますが未知の不具合等御座いました際にはご指摘承りますよう、今後とも宜しくお願い申し上げます。

———————————————————————————–

EC-CUBE plugins
Cross-site scripting vulnerability in the “category_freearea_ addition_plugin ver1.0”

■ Overview
Function plugin of open source EC site package “ECCUB” version 2.12 system for
“category_freearea_ addition_plugin”
Be vulnerable to cross-site scripting it exists was found in.
If this vulnerability was being exploited by a malicious third-party attacks, hijacking of the session, such as redirection to an illegal site, there is a risk of being run unauthorized programs.
Affected by this problem
“category_freearea_ addition_plugin” plugin
Since the version shown below, please apply the following fix.

■ How to check product
The affected product is for the following products.
Product Name: “category_freearea_ addition_plugin”
versions: 1.0

■ How to check the version number you are using
1.Login to the ECCUBE management screen.

2.Open the Owner’s Store> plugin management> plugin management of the header menu.

3.Number listed in the back of the plugin name of the plugin list that has become available is the version number in ECCUBE.

4.If the version number is “1.0”, it is a plugin that vulnerable.
Please update as soon as possible.
After the update, please make sure that the display of the version number is “1.1”.

■ Vulnerability of description

Execution of unauthorized programs due to cross-site scripting.

■ Threat vulnerability brings

Session hijacking, it may be redirected to a fraudulent site.

■ countermeasures (update how to measure product)

1.Login to the ECCUBE management screen.

2.Open the Owner’s Store> plugin management> plugin management of the header menu.

3.If you number listed in the back of the plugin name of the plugin list that is in use has become a “1.0” ECCUBE, click on the text link in the “Update” in the “plugin settings” item Please perform the update by.
Since the time of the update implementation may be required to log in to ECCUBE owner’s store, please login to the owner’s store according to the screen assistance.

4.After the completion of the update, please make sure that the version number is “1.1”.

■ Related Information
Also with regard to separate ECUBE plugin “itemdetail_freearea_ addition_plugin” in the distribution plugin Ver1.0, same since the vulnerability exists, would appreciate if rapid updates during application available.

[itemdetail_freearea_ addition_plugin]
Distribution site URL: http://www.ec-cube.net/products/detail.php?Product_id=506

■ Acknowledgements
With regard to the plugins of our release, Thank you very much for your report this problem.
Thank you to take this opportunity.
If you find an unknown bug, please let us know.