最近のEC-CUBEの脆弱性で私が発見したやつが結構あるので、ロックオン様が公開しているEC-CUBEの脆弱性リストに発見者とJVN iPediaとIPA注意喚起へのリンクを加筆して一覧表を作ってみました。
基本自分用資料ですが、ロックオン社の脆弱性情報とJVN iPediaとの対応表になっているので、CVE等を調べたいときに使えるかもしれません。
下表の★マークが私の見つけた脆弱性です。
参考:EC-CUBE脆弱性リスト(ロックオン公式)
(2013-05-22より前の脆弱性については私が関わっていないので省略します)
| 情報公開日 | 対象バージョン | 危険度 | タイトル | JVN iPedia | 発見者 | IPA注意喚起 |
| 2013-05-22 | 2.11.0以降(2.11.0 ~2.12.3) | 中 | カート画面でのXSS脆弱性、及びセッション固定の脆弱性 | JVNDB-2013-000041 | bogus.jp 東内 裕二 氏 | |
| 2013-05-22 | 2.11.0以降(2.11.0 ~2.12.3) | 中 | お届け先複数指定画面でのXSS脆弱性 | (IPAに報告し忘れ) | ★ | |
| 2013-05-22 | 2.11.0以降(2.11.0 ~2.12.3) | 高 | パスワードリマインド機能における不適切な入力確認の脆弱性 | JVNDB-2013-000044 | 株式会社システムフレンド | |
| 2013-05-22 | 2.11.0以降(2.11.0 ~2.12.3) | 高 | 一部環境における、管理画面の不適切な認証に関する脆弱性 | JVNDB-2013-000043 | ★ | ○ |
| 2013-06-26 | 2.12.4 以前 | 低 | ディレクトリトラバーサルの脆弱性 | JVNDB-2013-000061 | ★ | |
| 2013-06-26 | 2.12.4 以前 | 中 | クロスサイトスクリプティングの脆弱性 | JVNDB-2013-000064 | ゲヒルン株式会社 平澤 蓮 氏 | |
| 2013-06-26 | 2.11.0以降(2.11.0 ~2.12.4) | 中 | クロスサイトスクリプティングの脆弱性 | JVNDB-2013-000063 | ゲヒルン株式会社 石森 大貴 氏 | |
| 2013-06-26 | 2.11.2以降(2.11.2 ~2.12.4) | 高 | コードインジェクションの脆弱性 | JVNDB-2013-000062 | ★ | ○ |
| 2013-06-26 | 2.12.0以降(2.12.0 ~2.12.4) | 高 | ディレクトリトラバーサルの脆弱性 | JVNDB-2013-000065 | 株式会社システムフレンド | |
| 2013-08-29 | 2.12.0以降(2.12.0 ~2.12.5) | 高 | Windowsサーバー環境における、ディレクトリトラバーサルの脆弱性 | JVNDB-2013-000081 | ★ | |
| 2013-11-19 | 2.11.0~2.11.5 | 低 | クロスサイトスクリプティング及び、セッション情報漏えいの脆弱性 | JVNDB-2013-000105 | ★ | |
| 2013-11-19 | 2.11.2以降(2.11.2~2.13.0) | 中 | ファイルパス情報漏えいの脆弱性 | JVNDB-2013-000098 | ★ | |
| 2013-11-19 | 2.11.0以降(2.11.0~2.13.0) | 中 | クロスサイト・スクリプティングの脆弱性 | JVNDB-2013-000107 | 株式会社ラック | |
| 2013-11-19 | 2.11.0以降(2.11.0~2.13.0) | 中 | クロスサイトリクエストフォージェリの脆弱性 | JVNDB-2013-000097 | ★ | |
| 2013-11-19 | 2.12.3以降(2.12.3~2.13.0) | 高 | 個人情報漏えいの脆弱性 | JVNDB-2013-000106 | 株式会社ラック | ○ |
| 2014-01-21 | 2.12.2 以前 | 高 | 個人情報削除の脆弱性 | JVNDB-2014-000005 | 株式会社アラタナ | |
| 2014-01-21 | 2.11.0~2.12.2 | 高 | 個人情報漏えいの脆弱性 | JVNDB-2014-000006 | 開発者 | ○ |
| 2014-11-07 | 2.13.2以前 | 低 | クロスサイトスクリプティングの脆弱性 | - | - | |
| 2015-10-09 | 3.0.0~3.0.3 | 中 | クロスサイトリクエストフォージェリの脆弱性 | - | - | |
| 2015-10-09 | 3.0.0~3.0.3 | 高 | 個人情報漏えいの脆弱性 | - | - | |
| 2015-10-09 | 3.0.0~3.0.3 | 中 | ディレクトリトラバーサル脆弱性 | - | - | |
| 2015-10-23 | 2.11.0~2.13.3 | 中 | クロスサイトリクエストフォージェリの脆弱性 | JVNDB-2015-000166 | ★ | |
| 2015-11-13 | 2.11.0~2.13.4 | 中 | クロスサイトリクエストフォージェリの脆弱性 | JVNDB-2015-000166 | - | |
| 2016-04-25 | 3.0.7~3.0.9 | 低 | 管理画面の権限管理機能に関する脆弱性 | JVNDB-2016-000052 | ★ | |
| 2016-04-25 | 3.0.0~3.0.9 | 中 | クロスサイトリクエストフォージェリの脆弱性 | JVNDB-2016-000053 | 開発者 | |
| 2016-04-25 | 3.0.0~3.0.9 | 低 | 管理画面のIP制限機能に関する脆弱性 | JVNDB-2016-000051 | ★ |
・EC-CUBEプラグインの脆弱性
| 情報公開日 | プラグイン | JVN iPedia | 発見者 |
| 2015-12-03 | 管理画面表示制御プラグイン (2.13系) 管理画面表示制御プラグイン (2.12系) | JVNDB-2015-000190 | ★ |
| 2016-02-19 | ヘルプ機能プラグイン | JVNDB-2016-000027 | ★ |
| 2016-04-08 | ソーシャルボタン設置プラグイン -プレミアム- ソーシャルボタン設置プラグイン(2016-05-06に対象に追加) | JVNDB-2016-000048 | ★ |
| 2016-04-26 | カテゴリ毎(商品一覧ページ)フリーエリア追加プラグイン 商品毎(商品詳細ページ)フリーエリア追加プラグイン (「商品毎」のほうはカテゴリと同様の箇所を開発元が発見) | JVNDB-2016-000057 | ★ |
| 2016-07-22 | 割引クーポンプラグイン | JVNDB-2016-000130 | ★ |
(プラグインは私はアイネクシオ様のプラグイン調査のページでDL数が多いものを対象に調べています。)
私が見つけたEC-CUBEの脆弱性は影響の大きいものも数件あるので、世間で広く使われている(公式HPによると推定20,000店舗以上で稼働中)EC-CUBEの安全性にかなり貢献できたのではないかと思います。
いずれ時期を見てそれなりの情報を公開しようとは考えておりますので、この記事を読んだ時点でまだ対応されていない脆弱性が残っているEC-CUBEをご利用の場合は、なるべく早めにご対応ください。
(脆弱性のおおまかな情報や修正パッチの解析などにより再現手段が解明され攻撃が発生する可能性もあります)
* 2016/08/12 最新の状況に合わせて更新しました