JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は2020年12月3日(米国時間)、「JVN#24457594: EC-CUBE における複数の脆弱性」において、イーシーキューブが開発するオープンソースのEC向けコンテンツ管理システム「EC-CUBE」に複数の脆弱性が存在すると伝えた。

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • CVE-2020-5679: EC-CUBE 3.0.0から3.0.18までのバージョン
  • CVE-2020-5680: EC-CUBE 3.0.5から3.0.18までのバージョン
  • 脆弱性リスト

    脆弱性リスト

これら脆弱性を悪用されると、管理画面にログインしたユーザーが細工されたページにアクセスして画面上のコンテンツをクリックすることで、意図しない操作をさせられる可能性があるほか、遠隔からの第三者によってサービス妨害攻撃(DoS: Denial of Service attack)を受ける可能性があるとされている。