Published: 2024-08-01 08:00
EC-CUBE 4系にプラグインインストール時の入力値チェックの不備
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月30日、EC-CUBE 4系におけるプラグインインストール時の入力値チェックの不備について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
・EC-CUBE 4系
EC-CUBE 4.0.0から4.0.6-p4まで
EC-CUBE 4.1.0から4.1.2-p3まで
EC-CUBE 4.2.0から4.2.3まで
株式会社イーシーキューブが提供するEC-CUBE 4系には、プラグインインストール時の入力値チェックに不備があり、EC-CUBEの管理者権限を取得した攻撃者によって、任意のPHPパッケージをインストールされる可能性がある。また、旧バージョンのPHPパッケージをインストールされた場合、既知の脆弱性の影響を受ける可能性がある。
JVNでは、開発者が提供する情報をもとに修正パッチを適用するよう呼びかけている。
| # | 言葉 | 意味 |
|---|---|---|
| 3 | 系 | けい (系) : 1. system; lineage; group 2. corollary |
| 2 | 入力 | にゅうりょく (入力) : input; (data) entry |
| 2 | 値 | あたい (値) : 1. price; cost 2. value; worth; merit |
| 2 | 不備 | ふび (不備) : 1. defect; deficiency; imperfection; inadequacy; lack 2. Yours in haste |
| 2 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 2 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 2 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | および | および (及び) : and; as well as |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 株式会社 | かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK |
| 1 | 取得 | とりえ (取り柄) : worth; merit; value; good point; redeeming feature; saving grace |
| 1 | 攻撃者 | こうげきしゃ (攻撃者) : aggressor; assailant; invader |
| 1 | よる | よる (因る) : 1. to be due to; to be caused by 2. to depend on; to turn on |
| 1 | 任意 | にんい (任意) : 1. optional; voluntary; arbitrary; random; discretionary; facultative; spontaneous; any 2. arbitrary |
| 1 | 旧 | きゅう (旧) : 1. old; former; ex- 2. the old; old things; old customs |
| 1 | 既知 | きち (既知) : already known; well-known |
| 1 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 1 | 開発者 | かいはつしゃ (開発者) : developer |
| 1 | 情報 | じょうほう (情報) : 1. information; news; intelligence; advices 2. information; data contained in characters, signals, code, etc. |
| 1 | もと | もと (元) : 1. origin; source 2. base; basis; foundation; root |
| 1 | 修正 | しゅうせい (修正) : amendment; correction; revision; modification; alteration; retouching; update; fix |
| 1 | 適用 | てきよう (適用) : applying (e.g. a technology); adoption |
| 1 | 呼びかける | よびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal |