独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月16日、EC-CUBE 用プラグイン「注文ステータス一括変更プラグイン」におけるクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。EC-CUBE 3.0 用プラグイン「注文ステータス一括変更プラグイン」すべてのバージョン 株式会社アクティブフュージョンズが提供する EC-CUBE 用プラグイン「注文ステータス一括変更プラグイン」には、クロスサイトスクリプティングの脆弱性が存在し、当該製品で作成された EC サイトで攻撃者から特定の入力欄にスクリプトを入力された場合、EC サイト管理者のWebブラウザ上で任意のスクリプトが実行される可能性がある。 アクティブフュージョンズでは、当該プラグインの開発・サポートは既に終了しており、恒久的な対策として当該プラグインの使用を停止するよう呼びかけている。
![[インタビュー] ランサムウェア身代金交渉人の告白:後編「修羅場の交渉マニュアル」 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/35669.png)
![[インタビュー] ランサムウェア身代金交渉人の告白:前編「誰かが犯罪者と話さなければならない」 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/35638.png)
