EC-CUBE、緊急度の高い2件含む5件の脆弱性を確認

  • 元記事:EC-CUBE 脆弱性に関するお知らせ
  • 元記事:EC-CUBE におけるディレクトリトラバーサルの脆弱性
  • 元記事:EC-CUBE におけるコードインジェクションの脆弱性
  • 元記事:EC-CUBE におけるクロスサイトスクリプティングの脆弱性
  • 元記事:EC-CUBE におけるクロスサイトスクリプティングの脆弱性
  • 元記事:EC-CUBE におけるディレクトリトラバーサルの脆弱性
  • HP:ロックオン
  • 発表日時 2013/6/26

    EC-CUBEに2件の緊急度の高い脆弱性をあわせた5件の脆弱性が確認され、修正ファイルが公開された。緊急度が高いのはディレクトリトラバーサルとコードインジェクションで影響を受けるシステムはそれぞれEC-CUBE 2.12.5 より前のバージョンとEC-CUBE 2.11.2~EC-CUBE 2.11.5、 同2.12.0~EC-CUBE 2.12.3、同2.12.3en、同2.12.3enP1、同2.12.3enP2、同2.12.4、 同2.12.4enで、サーバ上の任意の画像ファイルを取得されたり、当該製品の設置されているサーバ上で製品が持つ権限で任意の PHP コードが実行される恐れがある。その他二つのクロスサイトスクリプティングや別のディレクトリトラバーサルの脆弱性にも対応したファイルを公開している。