- 2016年7月7日
- その他脆弱性情報
EC-CUBE 用プラグインにSQL インジェクションの脆弱性(その2)
オープンソースのEC向けCMSとして有名な「EC-CUBE」のプラグイン「管理画面表示制御プラグイン」に脆弱性が発見されました。
脆弱性タイプ
SQL インジェクション(エスキューエルインジェクション)
CVSS v3=5.4
CVSS v2=5.5
想定被害
EC-CUBEにログインした状態のユーザーによってSQL 文を実行される可能性があります。
※但し、開発者によると、データベース内の情報を改ざんされたりすることはないとのことです。
発見されたシステム・バージョン
管理画面表示制御プラグイン (2.13系) Ver1.0 およびそれ以前
管理画面表示制御プラグイン (2.12系) Ver2.0 およびそれ以前
対応方法
現在、管理画面表示制御プラグインの配布は既に終了しています。
その為、ご利用の方は、管理画面表示制御プラグインの使用を停止してください。
「管理画面表示制御プラグイン」はボクブロック株式会社が提供していた管理者権限による管理画面の閲覧制限設定を行えるプラグインです。
タイトルに記載した(その2)の意味は、以前に本プラグイン、バージョンに関しまして本脆弱性のアナウンスをしており、その際は、まだベンダーがプラグインを提供しており、最新版へ更新すれば対応可能でしたが、2016年7月7日現在は、すでに提供が終了しており、本脆弱性の存在するバージョンをご利用の方は、使用を停止する方法しかなくなり、今回再アナウンスをしました。
ご利用の方は、しかるべき対応をすることを強くお勧めします。