JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は2020年12月3日(米国時間)、「JVN#24457594: EC-CUBE における複数の脆弱性」において、イーシーキューブが開発するオープンソースのEC向けコンテンツ管理システム「EC-CUBE」に複数の脆弱性が存在すると伝えた。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- CVE-2020-5679: EC-CUBE 3.0.0から3.0.18までのバージョン
- CVE-2020-5680: EC-CUBE 3.0.5から3.0.18までのバージョン
-
脆弱性リスト
これら脆弱性を悪用されると、管理画面にログインしたユーザーが細工されたページにアクセスして画面上のコンテンツをクリックすることで、意図しない操作をさせられる可能性があるほか、遠隔からの第三者によってサービス妨害攻撃(DoS: Denial of Service attack)を受ける可能性があるとされている。
