CVE-2021-20735
| Summary |
Cross-site scripting vulnerability in ETUNA EC-CUBE plugins (Delivery slip number plugin (3.0 series) 1.0.10 and earlier, Delivery slip number csv bulk registration plugin (3.0 series) 1.0.8 and earlier, and Delivery slip number mail plugin (3.0 series) 1.0.8 and earlier) allows remote attackers to inject an arbitrary script by executing a specific operation on the management page of EC-CUBE.
|
| Publication Date |
June 22, 2021, 11:15 a.m. |
| Registration Date |
June 22, 2021, 4 p.m. |
| Last Update |
Nov. 21, 2024, 2:47 p.m. |
|
CVSS3.1 : MEDIUM
|
| スコア |
6.1
|
| Vector |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
低 |
| 攻撃に必要な特権レベル(PR) |
不要 |
| 利用者の関与(UI) |
要 |
| 影響の想定範囲(S) |
変更あり |
| 機密性への影響(C) |
低 |
| 完全性への影響(I) |
低 |
| 可用性への影響(A) |
なし |
|
CVSS2.0 : MEDIUM
|
| Score |
4.3
|
| Vector |
AV:N/AC:M/Au:N/C:N/I:P/A:N |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
中 |
| 攻撃前の認証要否(Au) |
不要 |
| 機密性への影響(C) |
なし |
| 完全性への影響(I) |
低 |
| 可用性への影響(A) |
なし |
| Get all privileges. |
いいえ
|
| Get user privileges |
いいえ
|
| Get other privileges |
いいえ
|
| User operation required |
はい
|
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:ec-cube:delivery_slip_number_mail:*:*:*:*:*:ec-cube:*:* |
|
1.0.8 |
|
|
| cpe:2.3:a:ec-cube:delivery_slip_number_csv_bulk_registration:*:*:*:*:*:ec-cube:*:* |
|
1.0.8 |
|
|
| cpe:2.3:a:ec-cube:delivery_slip_number:*:*:*:*:*:ec-cube:*:* |
|
1.0.10 |
|
|
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
複数の ETUNA 製 EC-CUBE 用プラグインにおけるクロスサイトスクリプティングの脆弱性
| Title |
複数の ETUNA 製 EC-CUBE 用プラグインにおけるクロスサイトスクリプティングの脆弱性
|
| Summary |
ETUNA が提供する複数の EC-CUBE 用プラグインには、クロスサイトスクリプティング (CWE-79) の脆弱性が存在します。 EC-CUBE の管理画面において、特定の操作を実行する際に任意のスクリプトが実行されます。 2021年6月15日現在、本脆弱性を悪用した攻撃がすでに確認されています。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CCが開発者との調整を行いました。 報告者: 株式会社アスタリスク 加藤 吉光 氏
|
| Possible impacts |
当該製品の管理画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。 |
| Solution |
[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 |
| Publication Date |
June 15, 2021, midnight |
| Registration Date |
June 15, 2021, 2:13 p.m. |
| Last Update |
June 15, 2021, 2:13 p.m. |
Affected System
| ETUNA |
|
配送伝票番号csv一括登録プラグイン(3.0系) 1.0.8 およびそれ以前のバージョン
|
|
配送伝票番号プラグイン(3.0系) 1.0.10 およびそれ以前のバージョン
|
|
配送伝票番号メールプラグイン(3.0系) 1.0.8 およびそれ以前のバージョン
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2021年06月15日]
掲載 |
June 14, 2021, 12:13 p.m. |