「EC-CUBE」3系および 4系において任意のコードを実行される脆弱性
IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC (一般社団法人JPCERTコーディネーションセンター)は、2023 年 11 月 7 日に「『EC-CUBE』3系および 4系において任意のコードを実行される脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。
◆概要
・株式会社イーシーキューブが提供する「EC-CUBE」は、オープンソースのショッピングサイト構築システムです。
・「EC-CUBE」3系および 4系には、同製品がテンプレートエンジンとして使用している Twig の設定不備に起因した任意コード実行可能な脆弱性が存在します。
・当該製品の管理者権限を持つユーザによって、当該製品が動作するサーバー上で任意のコードを実行される可能性があります。
・開発者が提供する情報をもとに、アップデートするか、パッチを適用してください。
◆この脆弱性情報は、2023 年 10 月 10 日に IPA が JPCERT/CC 経由で製品開発者自身から届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・「EC-CUBE」3系および 4系において任意のコードを実行される脆弱性
URL:https://jvn.jp/jp/JVN29195731/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#29195731」を参照