今回の脆弱性の概要(IPAの情報から引用)
今回の脆弱性の概要(IPAの情報から引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は11月17日,ショッピング・サイトなどを構築するためのツール「EC-CUBE」にクロスサイト・スクリプティングのセキュリティ・ホール(脆弱性)が見つかったことを明らかにした。同日公開された「EC-CUBE 1.0.1aベータ版」では修正済み。

 EC-CUBEとは,ロックオンが開発および公開するオープンソースのサイト構築ツール。マウスによるドラッグ&ドロップでレイアウトを変更できることなどが特徴(関連記事:ドラッグ&ドロップでレイアウトを変更できるオープンソースECサイト構築ツール)。

 今回,EC-CUBEにクロスサイト・スクリプティングの脆弱性が見つかった。このため,細工が施されたリンクをユーザーがクリックすると,EC-CUBEが稼働するサーバー経由で,攻撃者が意図したスクリプトやHTMLをユーザーのブラウザに送り込まれる恐れがある。その結果,EC-CUBEで構築したECサイトが発行するCookieを盗まれたり,実際とは異なるWebページが表示されたりする可能性がある。

 脆弱性が確認されているのは,EC-CUBE 1.0.1ベータ版以前(EC-CUBE 1.0.1ベータ版を含む)。ロックオンが11月17日に公開したEC-CUBE 1.0.1aベータ版では解消されている。

IPAとJPCERT/CCが運営するJVNの情報
IPAの情報