JPCERT-AT-2021-0022
JPCERT/CC
2021-05-10

I. 概要

2021年5月7日、株式会社イーシーキューブから、EC-CUBEのクロスサイトスクリプティングの脆弱性（CVE-2021-20717）に関する注意喚起が公開されました。脆弱性が悪用された場合、ECサイトの管理者のブラウザー上で任意のスクリプトが実行され、結果としてECサイトへの不正アクセスや個人情報の窃取などが行われる可能性があります。株式会社イーシーキューブによると、本脆弱性を悪用した攻撃を確認しているとのことです。

EC-CUBE 4.0系: クロスサイトスクリプティング脆弱性について
https://www.ec-cube.net/info/weakness/20210507/

すでに攻撃に悪用されていることから、該当する製品を利用している場合には、早期にパッチ適用などの対応の実施を推奨します。詳細は、株式会社イーシーキューブが提供する情報をご確認ください。なお対策にあたっては、構築を担当された事業者にも連絡をとり対応を進めることも検討してください。

II. 対象

対象となる製品とバージョンは次のとおりです。

- EC-CUBE バージョン4.0.0から4.0.5まで

III. 対策

株式会社イーシーキューブから、本脆弱性を修正するパッチおよび対策済みバージョンが提供されています。対象の製品に対しパッチまたは対策済みバージョンの適用を実施してください。

- EC-CUBE バージョン4.0.5-p1

また、EC-CUBE本体のソースコードをカスタマイズしているユーザー向けにコード差分情報や適用時の注意に関する情報が説明されています。

修正方法2: 修正差分を確認して適宜反映する場合
https://www.ec-cube.net/info/weakness/20210507/#diff

IV. 侵害有無の調査

本脆弱性を悪用した攻撃をすでに受けているか確認する方法について、株式会社イーシーキューブから情報が公開されており、受注情報や会員情報を確認する方法が紹介されています。

攻撃の確認方法
https://www.ec-cube.net/info/weakness/20210507/#check

V. 参考情報

株式会社イーシーキューブ
【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性発覚と対応のお願い(2021/5/10 9:00 更新)（2021/05/07）
https://www.ec-cube.net/news/detail.php?news_id=383

株式会社イーシーキューブ
脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース（2021/05/10）
https://www.ec-cube.net/news/detail.php?news_id=384

Japan Vulnerability Notes JVN#97554111
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN97554111/

今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。

一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp