NVD Vulnerability Detail

CVE-2015-5665

Summary	Cross-site request forgery (CSRF) vulnerability in LOCKON EC-CUBE 2.11.0 through 2.13.3 allows remote attackers to hijack the authentication of arbitrary users for requests that write to PHP scripts, related to the doValidToken function.
Publication Date	Oct. 27, 2015, 11:59 a.m.
Registration Date	Jan. 26, 2021, 2:53 p.m.
Last Update	Nov. 21, 2024, 11:33 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://jvn.jp/en/jp/JVN97278546/index.html	Vendor Advisory
2	http://jvn.jp/en/jp/JVN97278546/index.html	Vendor Advisory
3	http://jvndb.jvn.jp/jvndb/JVNDB-2015-000166	Vendor Advisory
4	http://jvndb.jvn.jp/jvndb/JVNDB-2015-000166	Vendor Advisory
5	http://www.ec-cube.net/info/weakness/weakness.php?id=63	Vendor Advisory
6	http://www.ec-cube.net/info/weakness/weakness.php?id=63	Vendor Advisory
7	https://www.ec-cube.net/info/weakness/201510_01/	Vendor Advisory
8	https://www.ec-cube.net/info/weakness/201510_01/	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html

JVN Vulnerability Information

EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性

Title	EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性
Summary	株式会社ロックオンが提供する EC-CUBE は、オープンソースのショッピングサイト構築システムです。EC-CUBE には、クロスサイトリクエストフォージェリ (CWE-352) の脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 株式会社トレードワークスセキュリティ事業部佐藤元氏
Possible impacts	当該製品のユーザが、細工されたページにアクセスした場合、サーバ上で任意の PHP コードを実行される可能性があります。
Solution	[アップデートまたは修正ファイルを適用する] 開発者が提供する情報をもとに、最新版へアップデートもしくは修正ファイルを適用してください。
Publication Date	Oct. 26, 2015, midnight
Registration Date	Oct. 26, 2015, 12:01 p.m.
Last Update	Nov. 13, 2015, 7:27 p.m.

Affected System

株式会社ロックオン

EC-CUBE 2.11.0 から 2.13.4 まで

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-5665	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5665
National Vulnerability Database (NVD)
2	CVE-2015-5665	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5665

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	Name	URL
EC-CUBE
1	EC-CUBE2.13.3以下の1件の脆弱性に関しまして	https://www.ec-cube.net/info/weakness/201510_01/
2	クロスサイトリクエストフォージェリの脆弱性 (情報公開日：2015年 10月 23日)	https://www.ec-cube.net/info/weakness/weakness.php?id=63
3	クロスサイトリクエストフォージェリの脆弱性 (情報公開日：2015年 11月 13日)	https://www.ec-cube.net/info/weakness/weakness.php?id=64

その他

No	Name	URL
JVN
1	JVN#97278546	https://jvn.jp/jp/JVN97278546/index.html
関連文書
2	株式会社アラタナの告知ページ	http://www.aratana.jp/security/detail.php?id=13

Change Log

No	Changed Details	Date of change
0	[2015年10月26日] 掲載 [2015年10月29日] 概要：内容を更新想定される影響：内容を更新参考情報：関連文書 (株式会社アラタナの告知ページ) を追加 [2015年11月13日] 影響を受けるシステム：内容を更新ベンダ情報：ロックオン (EC-CUBE2.13.3以下の1件の脆弱性に関しまして) を追加ベンダ情報：ロックオン (クロスサイトリクエストフォージェリの脆弱性 (情報公開日：2015年 11月 13日)) を追加参考情報：National Vulnerability Database (NVD) (CVE-2015-5665) を追加	Feb. 17, 2018, 10:37 a.m.