NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2023-46845

概要	EC-CUBE 3 series (3.0.0 to 3.0.18-p6) and 4 series (4.0.0 to 4.0.6-p3, 4.1.0 to 4.1.2-p2, and 4.2.0 to 4.2.2) contain an arbitrary code execution vulnerability due to improper settings of the template engine Twig included in the product. As a result, arbitrary code may be executed on the server where the product is running by a user with an administrative privilege.
公表日	2023年11月7日17:15
登録日	2023年11月8日10:01
最終更新日	2024年11月21日17:29

CVSS3.1 : HIGH
スコア	7.2
ベクター	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	高
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:ec-cube:ec-cube::::::::		3.0.0	3.0.18
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p1::::::
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p2::::::
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p3::::::
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p4::::::
cpe:2.3:a:ec-cube:ec-cube:4.1.2:p1::::::
cpe:2.3:a:ec-cube:ec-cube::::::::		4.1.0	4.1.2
cpe:2.3:a:ec-cube:ec-cube:4.0.6:p1::::::
cpe:2.3:a:ec-cube:ec-cube:4.0.6:p2::::::
cpe:2.3:a:ec-cube:ec-cube::::::::		4.0.0	4.0.6
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p5::::::
cpe:2.3:a:ec-cube:ec-cube:4.1.2:p2::::::
cpe:2.3:a:ec-cube:ec-cube:4.0.6:p3::::::
cpe:2.3:a:ec-cube:ec-cube:3.0.18:p6::::::
cpe:2.3:a:ec-cube:ec-cube::::::::		4.2.0			4.2.3

関連情報、対策とツール

No	URL	refsource	タグ
1	https://jvn.jp/en/jp/JVN29195731/		Third Party Advisory
2	https://jvn.jp/en/jp/JVN29195731/		Third Party Advisory
3	https://www.ec-cube.net/info/weakness/20231026/index.php		Exploit Patch Vendor Advisory
4	https://www.ec-cube.net/info/weakness/20231026/index.php		Exploit Patch Vendor Advisory
5	https://www.ec-cube.net/info/weakness/20231026/index_3.php		Exploit Patch Vendor Advisory
6	https://www.ec-cube.net/info/weakness/20231026/index_3.php		Exploit Patch Vendor Advisory
7	https://www.ec-cube.net/info/weakness/20231026/index_40.php		Exploit Patch Vendor Advisory
8	https://www.ec-cube.net/info/weakness/20231026/index_40.php		Exploit Patch Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html

JVN脆弱性情報

EC-CUBE 3系および 4系において任意のコードを実行される脆弱性

タイトル	EC-CUBE 3系および 4系において任意のコードを実行される脆弱性
概要	株式会社イーシーキューブが提供する EC-CUBE 3系および 4系には、同製品がテンプレートエンジンとして使用している Twig の設定不備に起因した任意コード実行可能な脆弱性 (CWE-94) が存在します。この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 株式会社エヌ・エフ・ラボラトリーズ三浦剛氏
想定される影響	当該製品の管理者権限を持つユーザによって、当該製品が動作するサーバー上で任意のコードを実行される可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに最新版にアップデートしてください。開発者は、本脆弱性を修正した EC-CUBE 4.2.3 をリリースしています。 [パッチを適用する] 開発者はアップデートを適用できないユーザに向け、修正パッチを提供しています。詳しくは開発者が提供する情報をご確認ください。
公表日	2023年11月7日0:00
登録日	2023年11月7日12:09
最終更新日	2023年11月7日12:09

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2023-46845	https://www.cve.org/CVERecord?id=CVE-2023-46845

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	名前	URL
株式会社イーシーキューブ
1	株式会社イーシーキューブの告知ページ	https://www.ec-cube.net/info/weakness/

その他

No	名前	URL
JVN
1	JVN#29195731	https://jvn.jp/jp/JVN29195731/index.html

変更履歴

No	変更内容	変更日
1	[2023年11月07日] 掲載	2023年10月30日14:08