弊社配布中のオープンソースECサイト構築パッケージ「ECCUBE3」向けプラグインにつきまして、クロスサイトスクリプティングの脆弱性が見つかりましたので、以下の通りご報告及び対策方法をお知らせいたします。
尚、対策済みアップデート版は本日より公開配布しておりますので、ご利用中の方は大変お手数ですが、下記の手順でECCUBE管理画面よりプラグインアップデート頂きますよう、宜しくお願い申し上げます。
【ご注意】
プラグイン及びプラグインアップデートはECCUBEデフォルト状態に対してのみテスト、検証を行っております。
デフォルト以外の何らかのカスタマイズ施工がある場合や他のプラグイン競合等による影響につきましては、サイト構築及びカスタマイズされた内容を検証の上、適用頂きますよう宜しくお願い申し上げます。
※デフォルト状態以外への適用につきましての動作保証は出来ませんのでご理解の程宜しくお願い申し上げます。
■概要
オープンソースECサイトパッケージ「EC-CUBE」バージョン「3.x系」向けの機能プラグイン
「一覧画面(受注管理)項目変更プラグイン」
にクロスサイトスクリプティングの脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、悪意ある第三者の攻撃により、セッションの乗っ取り、不正なサイトへのリダイレクトなど、不正なプログラムを実行される危険性があります。
この問題の影響を受ける
「一覧画面(受注管理)項目変更プラグイン」
のバージョンを以下に示しますので、以下の修正プログラムを適用してください。
■該当製品の確認方法
影響を受ける製品は以下の製品です。
製品名称:「一覧画面(受注管理)項目変更プラグイン」
該当バージョン:1.0/1.1
使用しているバージョン番号の確認方法は以下の通りです。
1.ECCUBE管理画面にログインします。
2.ヘッダーメニューのオーナーズストア>プラグイン管理>プラグイン管理を開きます。
3.ECCUBEでご利用になっているプラグイン一覧表示の当該プラグイン名称の後ろに記載されている番号がバージョン番号です。
4.バージョン番号が「1.0」または「1.1」となっている場合は当該、脆弱性が存在するプラグインですので、速やかにアップデート頂きますよう宜しくお願い申し上げます。
■脆弱性の説明
クロスサイトスクリプティングによる不正なプログラムの実行
■脆弱性がもたらす脅威
セッションの乗っ取り、不正なサイトへのリダイレクトされる可能性があります。
■対策方法(対策済み製品へのアップデート方法)
1.ECCUBE管理画面にログインします。
2.ヘッダーメニューのオーナーズストア>プラグイン管理>プラグイン管理を開きます。
3.ECCUBEでご利用になっているプラグイン一覧表示の当該プラグイン名称の後ろに記載されている番号が「1.0」または「1.1」となっている場合は、「プラグイン設定」項目の「アップデート」のテキストリンクをクリックしてアップデートを実施して下さい。
アップデート実施の際にはECCUBEオーナーズストアへのログインが必要になる場合がありますので、画面案内に従ってオーナーズストアへログインしてください。
4.アップデートの完了後、バージョン番号が「1.2」になっている事を確認してください。
■関連情報
当該プラグインの販売は、2021年8月23日時点でアップデート版Ver1.2の配布開始となっております
配布サイトURL:https://www.ec-cube.net/products/detail.php?product_id=1419
また、当該脆弱性の発生につきましては、JPCERT、及びIPAへ届け出済にて、2021/09/13時点で情報公開となっております。
https://jvn.jp/jp/JVN46313661/
■謝辞
弊社リリースのプラグインにつきまして、ご利用いただいておりますユーザー様へご不安、ご面倒をおかけいたしました事、この場を借りて、深くお詫び申し上げます。
尚、不具合等の発生を未然に防ぐべく、製品開発テスト等善処してまいりますが未知の不具合等御座いました際にはご指摘承りますよう、今後とも宜しくお願い申し上げます。
