アーカイブ
EC-CUBE における情報漏えいの脆弱性
2013年11月20日 | 注意喚起
LAC Advisory No.115
Problem first discovered on: Tue, 22 Oct 2013
Published on: Wed, 20 Nov 2013
脅威度
高
概要
EC-CUBE には、情報漏えいの脆弱性が存在します。
詳細
株式会社ロックオンが提供する EC-CUBE は、オープンソースのショッピングサイト構築システムです。EC-CUBE には、フロント機能の処理の問題に起因する情報漏えいの脆弱性が存在します。
会員の登録配送先を管理する画面(内部処理をおこなっているヘルパークラスSC_Helper_Address.php)において、適切な妥当性のチェックがおこなわれていませんでした。このため、ショッピングサイト利用者によって、他の利用者の登録情報(お届け先情報)を取得されたり、改ざん・削除されたりする恐れがあります。
影響を受けるバージョン
- EC-CUBE 2.12.3
- EC-CUBE 2.12.3en
- EC-CUBE 2.12.3enP1
- EC-CUBE 2.12.3enP2
- EC-CUBE 2.12.4
- EC-CUBE 2.12.4en
- EC-CUBE 2.12.5
- EC-CUBE 2.12.5en
- EC-CUBE 2.12.6
- EC-CUBE 2.12.6en
- EC-CUBE 2.13.0
対策
開発者が提供する情報をもとに、最新版へアップデートもしくは修正ファイルを適用してください。
[ベンダ情報]
http://www.ec-cube.net/info/weakness/weakness.php?id=51
http://www.ec-cube.net/info/weakness/20131119/index.php
発見者
ペンテスト技術部(ラック)
謝辞:
本問題は、ラックから開発者に報告し、情報セキュリティ早期警戒パートナーシップに基づき JPCERT/CC により開発者との調整が行われました。
http://jvn.jp/jp/JVN55630933/index.html
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000106.html
CVE番号:
CVE-2013-5995
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5995