JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月22日、「JVN#53871926: EC-CUBE における HTTP Host ヘッダの処理に脆弱性」において、イーシーキューブが開発するオープンソースのEC向けコンテンツ管理システム「EC-CUBE」に脆弱性が存在すると伝えた。この脆弱性を悪用されると、リモートからEC-CUBEユーザーにURLの一部が改ざんされたパスワード再発行用のメールが送信される恐れがあるとされている。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- EC-CUBE 3.0.0 から 3.0.18-p3 まで (EC-CUBE 3系)
- EC-CUBE 4.0.0 から 4.1.1 まで (EC-CUBE 4系)
また、EC-CUBE用プラグイン「メルマガ管理プラグイン」にクロスサイトリクエストフォージェリの脆弱性が存在することが次のページにおいて報告されている。JPCERT/CCは開発者の提供する情報に従ってアップデートを適用することを推奨している。