EC向けCMSのEC-CUBEに、ディレクトリトラバーサルなど複数の脆弱性が確認されました。
脆弱性の内容
ディレクトリトラバーサルの脆弱性
CVE-2022-40199
管理者権限を取得した攻撃者によって、システムのディレクトリ構成が漏えいする脆弱性があります。
対象となるEC-CUBE
- EC-CUBE 3.0.0 ~ 3.0.18-p4 まで
- EC-CUBE 4.0.0 ~ 4.1.2 まで まで
DOM ベースのクロスサイトスクリプティング
CVE-2022-38975
攻撃者が管理者を細工したページに誘導し、特定の操作を実行させることにより、管理者のウェブブラウザ上で任意のスクリプトが実行される脆弱性があります。
対象となるEC-CUBE
- EC-CUBE 4.0.0 ~ 4.1.2 まで まで
EC-CUBEバージョン毎の対策
EC-CUBE 4系はアップデート及びパッチが提供されています。EC-CUBE 3系は修正パッチのみの提供です。
EC-CUBE 4系ご利用の方
EC-CUBE 4系向けにアップデートが提供されています。最新版へアップデートする必要があります。
EC-CUBE 3系ご利用の方
修正パッチが提供されています。
対策作業について
ご利用中のEC-CUBEバージョンに該当する対策を実施してください。
保守契約をご利用のお客様または納品後3か月以内のお客様
当社でアップデート作業又はパッチ適用を行います。(追加費用なし)
納品後3か月以上のお客様で保守契約をご利用されていないお客様
ご利用中のEC-CUBEバージョンに応じた対策をお客様で行ってください。
当社が代行して行う事も出来ますが、別途費用が必要となります。
※費用はお客様毎によって異なりますので、見積依頼をしてください。