NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2015-5665

概要	Cross-site request forgery (CSRF) vulnerability in LOCKON EC-CUBE 2.11.0 through 2.13.3 allows remote attackers to hijack the authentication of arbitrary users for requests that write to PHP scripts, related to the doValidToken function.
公表日	2015年10月27日11:59
登録日	2021年1月26日14:53
最終更新日	2024年11月21日11:33

CVSS2.0 : MEDIUM
スコア	5.1
ベクター	AV:N/AC:H/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	高
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:lockon:ec-cube:2.11.2:::::::*
cpe:2.3:a:lockon:ec-cube:2.11.0:::::::*
cpe:2.3:a:lockon:ec-cube:2.12.6:::::::*
cpe:2.3:a:lockon:ec-cube:2.12.5:::::::*
cpe:2.3:a:lockon:ec-cube:2.12.3:::::::*
cpe:2.3:a:lockon:ec-cube:2.13.1:::::::*
cpe:2.3:a:lockon:ec-cube:2.11.3:::::::*
cpe:2.3:a:lockon:ec-cube:2.11.5:::::::*
cpe:2.3:a:lockon:ec-cube:2.12.1:::::::*
cpe:2.3:a:lockon:ec-cube:2.13.0:::::::*
cpe:2.3:a:lockon:ec-cube:2.11.4:::::::*
cpe:2.3:a:lockon:ec-cube:2.13.2:::::::*
cpe:2.3:a:lockon:ec-cube:2.12.0:::::::*
cpe:2.3:a:lockon:ec-cube:2.12.2:::::::*
cpe:2.3:a:lockon:ec-cube:2.11.1:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://jvn.jp/en/jp/JVN97278546/index.html		Vendor Advisory
2	http://jvn.jp/en/jp/JVN97278546/index.html		Vendor Advisory
3	http://jvndb.jvn.jp/jvndb/JVNDB-2015-000166		Vendor Advisory
4	http://jvndb.jvn.jp/jvndb/JVNDB-2015-000166		Vendor Advisory
5	http://www.ec-cube.net/info/weakness/weakness.php?id=63		Vendor Advisory
6	http://www.ec-cube.net/info/weakness/weakness.php?id=63		Vendor Advisory
7	https://www.ec-cube.net/info/weakness/201510_01/		Vendor Advisory
8	https://www.ec-cube.net/info/weakness/201510_01/		Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html

JVN脆弱性情報

EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性

タイトル	EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性
概要	株式会社ロックオンが提供する EC-CUBE は、オープンソースのショッピングサイト構築システムです。EC-CUBE には、クロスサイトリクエストフォージェリ (CWE-352) の脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 株式会社トレードワークスセキュリティ事業部佐藤元氏
想定される影響	当該製品のユーザが、細工されたページにアクセスした場合、サーバ上で任意の PHP コードを実行される可能性があります。
対策	[アップデートまたは修正ファイルを適用する] 開発者が提供する情報をもとに、最新版へアップデートもしくは修正ファイルを適用してください。
公表日	2015年10月26日0:00
登録日	2015年10月26日12:01
最終更新日	2015年11月13日19:27

影響を受けるシステム

株式会社ロックオン

EC-CUBE 2.11.0 から 2.13.4 まで

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-5665	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5665
National Vulnerability Database (NVD)
2	CVE-2015-5665	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5665

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	名前	URL
EC-CUBE
1	EC-CUBE2.13.3以下の1件の脆弱性に関しまして	https://www.ec-cube.net/info/weakness/201510_01/
2	クロスサイトリクエストフォージェリの脆弱性 (情報公開日：2015年 10月 23日)	https://www.ec-cube.net/info/weakness/weakness.php?id=63
3	クロスサイトリクエストフォージェリの脆弱性 (情報公開日：2015年 11月 13日)	https://www.ec-cube.net/info/weakness/weakness.php?id=64

その他

No	名前	URL
JVN
1	JVN#97278546	https://jvn.jp/jp/JVN97278546/index.html
関連文書
2	株式会社アラタナの告知ページ	http://www.aratana.jp/security/detail.php?id=13

変更履歴

No	変更内容	変更日
0	[2015年10月26日] 掲載 [2015年10月29日] 概要：内容を更新想定される影響：内容を更新参考情報：関連文書 (株式会社アラタナの告知ページ) を追加 [2015年11月13日] 影響を受けるシステム：内容を更新ベンダ情報：ロックオン (EC-CUBE2.13.3以下の1件の脆弱性に関しまして) を追加ベンダ情報：ロックオン (クロスサイトリクエストフォージェリの脆弱性 (情報公開日：2015年 11月 13日)) を追加参考情報：National Vulnerability Database (NVD) (CVE-2015-5665) を追加	2018年2月17日10:37