【重要】EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」の脆弱性について
2021/09/15
平素より格別のご愛顧を賜り、誠にありがとうございます。
この度、弊社開発のEC-CUBE用プラグイン「注文ステータス一括変更プラグイン」につきまして、以下の脆弱性が判明いたしました。
当該プラグインの開発・サポートは2018年03月31日をもって終了しております。セキュリティ保護のため当該プラグインのご利用を停止いただきますようお願い申し上げます。
また、当該プラグインを含むEC-CUBE用プラグイン4件の公開を終了させていただきました。
ご利用中のお客様にはご迷惑をおかけいたしますが、ご理解とご協力を賜りますようお願い申し上げます。
■脆弱性の概要
弊社が開発したEC-CUBE用プラグイン「注文ステータス⼀括変更プラグイン」には、クロスサイトスクリプティングの脆弱性が存在します。
■影響を受けるシステム
EC-CUBE3.0用プラグイン「注文ステータス⼀括変更プラグイン」すべてのバージョン
■詳細情報
弊社が開発した「注文ステータス一括変更プラグイン」には、クロスサイトスクリプティングの脆弱性が存在します。
EC-CUBEの管理画面において、特定の操作を実行する際に任意のスクリプトが実⾏されます。
■想定される影響
当該製品で作成された ECサイトにおいて、
攻撃者によって特定の入力欄にスクリプトを入力された場合、ECサイト管理者のウェブブラウザ上で任意のスクリプトが実行される可能性があります。
※2021年9月15日現在、弊社に被害の報告はございません。
■対策
当該プラグインの開発・サポートは既に終了しているため、恒久的な対策としてプラグインの使用を停止してください。
■公開終了プラグイン
(すべて2018年03月31日をもって既に開発・サポートを終了しております。)
・注文ステータス一括変更プラグイン
・定休日カレンダープラグイン
・メールテンプレート機能拡張プラグイン
・カテゴリ-商品リスト非表示管理プラグイン