製品・ソフトウェアに関する情報
Vulnerability Search
EC-CUBEペイメント決済モジュールおよび EC-CUBE用 GMO-PG決済モジュール (PGマルチペイメントサービス) における複数の脆弱性
Title EC-CUBEペイメント決済モジュールおよび EC-CUBE用 GMO-PG決済モジュール (PGマルチペイメントサービス) における複数の脆弱性
Summary

GMOペイメントゲートウェイ株式会社が EC-CUBE の追加モジュールとして提供する EC-CUBEペイメント決済モジュールおよび EC-CUBE用 GMO-PG決済モジュール (PGマルチペイメントサービス) には、次の複数の脆弱性が存在します。 ・管理画面におけるクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2018-0657 ・管理画面における入力値検証不備の脆弱性 (CWE-20) - CVE-2018-0658 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 佐藤 元 氏

Possible impacts 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。  ・EC-CUBE 管理画面にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2018-0657 ・EC-CUBE 管理画面にログインしているユーザにより、サーバ上で任意の PHP コードを実行される - CVE-2018-0658  また、2つの脆弱性を組み合わせると、EC-CUBE 管理画面にログインしているユーザが細工された URL にアクセスすることで、サーバ上で任意の PHP コードを実行される可能性があります。
Solution

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
Publication Date Aug. 9, 2018, midnight
Registration Date Aug. 9, 2018, 2:13 p.m.
Last Update Aug. 9, 2018, 2:13 p.m.
CVSS3.0 : 低
Score 3.8
Vector CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L
CVSS2.0 : 注意
Score 3.5
Vector AV:N/AC:M/Au:S/C:N/I:P/A:N
Affected System
GMOペイメントゲートウェイ株式会社
EC-CUBEペイメント決済モジュール (2.11系) バージョン 2.3.17 およびそれ以前
EC-CUBEペイメント決済モジュール (2.12系) バージョン 3.5.23 およびそれ以前
GMO-PG決済モジュール (PGマルチペイメントサービス) (2.11系) バージョン 2.3.17 およびそれ以前
GMO-PG決済モジュール (PGマルチペイメントサービス) (2.12系) バージョン 3.5.23 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2018年08月09日]
  掲載		 Aug. 9, 2018, 1:58 p.m.
NVD Vulnerability Information
CVE-2018-0657
Summary

Cross-site scripting vulnerability in EC-CUBE Payment Module and GMO-PG Payment Module (PG Multi-Payment Service) for EC-CUBE (EC-CUBE Payment Module (2.12) version 3.5.23 and earlier, EC-CUBE Payment Module (2.11) version 2.3.17 and earlier, GMO-PG Payment Module (PG Multi-Payment Service) (2.12) version 3.5.23 and earlier, and GMO-PG Payment Module (PG Multi-Payment Service) (2.11) version 2.3.17 and earlier) allow an attacker with administrator rights to inject arbitrary web script or HTML via unspecified vectors.

Publication Date Sept. 7, 2018, 11:29 p.m.
Registration Date March 1, 2021, 6:37 p.m.
Last Update Nov. 21, 2024, 12:38 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:ec-cube:ec-cube_payment_module:*:*:*:*:*:*:*:* 2.3.17
cpe:2.3:a:gmo-pg:gmo-pg_payment_module:*:*:*:*:*:*:*:* 2.3.17
execution environment
1 cpe:2.3:a:ec-cube:ec-cube:2.11:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:a:ec-cube:ec-cube_payment_module:*:*:*:*:*:*:*:* 3.5.23
cpe:2.3:a:gmo-pg:gmo-pg_payment_module:*:*:*:*:*:*:*:* 3.5.23
execution environment
1 cpe:2.3:a:ec-cube:ec-cube:2.12:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
CVE-2018-0658
Summary

Input validation issue in EC-CUBE Payment Module (2.12) version 3.5.23 and earlier, EC-CUBE Payment Module (2.11) version 2.3.17 and earlier, GMO-PG Payment Module (PG Multi-Payment Service) (2.12) version 3.5.23 and earlier, GMO-PG Payment Module (PG Multi-Payment Service) (2.11) version 2.3.17 and earlier allows an attacker with administrative rights to execute arbitrary PHP code on the server via unspecified vectors.

Publication Date Sept. 7, 2018, 11:29 p.m.
Registration Date March 1, 2021, 6:37 p.m.
Last Update Nov. 21, 2024, 12:38 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:ec-cube:ec-cube_payment_module:*:*:*:*:*:*:*:* 2.3.17
cpe:2.3:a:gmo-pg:gmo-pg_payment_module:*:*:*:*:*:*:*:* 2.3.17
execution environment
1 cpe:2.3:a:ec-cube:ec-cube:2.11:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:a:ec-cube:ec-cube_payment_module:*:*:*:*:*:*:*:* 3.5.23
cpe:2.3:a:gmo-pg:gmo-pg_payment_module:*:*:*:*:*:*:*:* 3.5.23
execution environment
1 cpe:2.3:a:ec-cube:ec-cube:2.12:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List