JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は5月10日、「JVN#97554111: EC-CUBE におけるクロスサイトスクリプティングの脆弱性」において、イーシーキューブが提供するオープンソースのEC向けコンテンツ管理システム「EC-CUBE」にクロスサイトスクリプティングの脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって任意のスクリプト実行が引き起こされるおそれがある。

脆弱性に関する情報は次のページにまとまっている。

  • 【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性発覚と対応のお願い(2021/5/10 9:00 更新)|ECサイト構築・リニューアルは「ECオープンプラットフォームEC-CUBE」

    【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性発覚と対応のお願い(2021/5/10 9:00 更新)|ECサイト構築・リニューアルは「ECオープンプラットフォームEC-CUBE」

  • 脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース|ECサイト構築・リニューアルは「ECオープンプラットフォームEC-CUBE」

    脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース|ECサイト構築・リニューアルは「ECオープンプラットフォームEC-CUBE」

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • EC-CUBE 4.0.0から4.0.5までのバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • EC-CUBE 4.0.5-p1

JPCERT/CCは、必要に応じてアップデートを適用することを推奨している。この脆弱性を悪用したサイバー攻撃が既に確認されていることから、該当するプロダクトを使用している場合は直ちにアップデートを適用することが望まれる。