独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月30日、EC-CUBE 4系におけるプラグインインストール時の入力値チェックの不備について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
・EC-CUBE 4系
EC-CUBE 4.0.0から4.0.6-p4まで
EC-CUBE 4.1.0から4.1.2-p3まで
EC-CUBE 4.2.0から4.2.3まで
株式会社イーシーキューブが提供するEC-CUBE 4系には、プラグインインストール時の入力値チェックに不備があり、EC-CUBEの管理者権限を取得した攻撃者によって、任意のPHPパッケージをインストールされる可能性がある。また、旧バージョンのPHPパッケージをインストールされた場合、既知の脆弱性の影響を受ける可能性がある。
JVNでは、開発者が提供する情報をもとに修正パッチを適用するよう呼びかけている。
