EC-CUBE用プラグインにSQLインジェクションの脆弱性(JVN)

2015年12月4日(金) 17時16分
このエントリーをはてなブックマークに追加
EC-CUBE用プラグインにSQLインジェクションの脆弱性(JVN)の画像
EC-CUBE用プラグインにSQLインジェクションの脆弱性(JVN)
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は12月3日、ボクブロック株式会社が提供するEC-CUBE用プラグイン「管理画面表示制御プラグイン」にSQLインジェクションの脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは4.3。

「管理画面表示制御プラグイン(2.13系)Ver1.0 およびそれ以前」および「管理画面表示制御プラグイン(2.12系)Ver2.0 およびそれ以前」には、SQLインジェクションの脆弱性(CVE-2015-7784)が存在する。この脆弱性が悪用されると、当該製品にログイン済みのユーザによって、SQL文を実行される可能性がある。なお、開発者によると本脆弱性によって可用性に影響が及ぶものの、データベース内の情報を取得されたり、改ざんされたりすることはないとしている。JVNでは、開発者の情報をもとに最新版へアップデートするよう呼びかけている。
《吉澤 亨史》

注目ニュース

icon
「p++BBS」にクロスサイトスクリプティングの脆弱性(JVN)

IPAおよびJPCERT/CCは、レッツPHP!が提供するBBSシステム「p++BBS」に格納型のクロスサイトスクリプティングの脆弱性が存在すると「JVN」で発表した。

icon
「Videofied Frontel」にサーバと安全でない通信を行う脆弱性(JVN)

IPAおよびJPCERT/CCは、RSI Video Technologies が提供するセキュリティシステムにおいて警報発生時の状態を監視するソフトウェア「Videofied Frontel」がサーバとの通信にセキュアでない独自プロトコルを使用す...

icon
「ManageEngine Firewall Analyzer」に複数の脆弱性(JVN)

IPAおよびJPCERT/CCは、Zoho Corporationが提供するファイアウォールやプロキシサーバのログ解析や設定管理を行うためのソフトウェア「ManageEngine Firewall Analyzer」に複数の脆弱性が存在すると「JVN」で発表...

icon
アプリ作成プラットフォーム「Apache Cordova」にアクセス制限不備の脆弱性(JVN)

IPAおよびJPCERT/CCは、Apache Software Foundationが提供するさまざまなプラットフォーム向けにモバイルアプリケーションを作成するためのフレームワーク「Apache Cordova」にアクセス制限不備の脆弱性が存在す...

icon
デル製PCやタブレットのサポート機能が原因で情報漏えいの可能性(JVN)

IPAおよびJPCERT/CCは、デル製のPCやタブレットにインストールされる遠隔サポート用のコンポーネント「DFS」および、ユーザ権限で Dell のサポートサイトと連携して動作するアプリケーション「DSD」が原因で機密...

RSS

特集・連載

ピックアップフォト