製品・ソフトウェアに関する情報

JVN脆弱性詳細

EC-CUBE における情報漏えいの脆弱性

Title	EC-CUBE における情報漏えいの脆弱性
Summary	株式会社ロックオンが提供する EC-CUBE は、オープンソースのショッピングサイト構築システムです。EC-CUBE には、フロント機能の処理に問題があり、情報漏えいの脆弱性が存在します。この脆弱性情報は、次の方が開発者に報告し、情報セキュリティ早期警戒パートナーシップに基づき JPCERT/CC が開発者との調整を行いました。発見者: 株式会社ラック
Possible impacts	ショッピングサイト利用者によって、他の利用者の登録情報を取得されたり、改ざんされたりする可能性があります。
Solution	[アップデートまたは修正ファイルを適用する] 開発者が提供する情報をもとに、最新版へアップデートもしくは修正ファイルを適用してください。
Publication Date	Nov. 20, 2013, midnight
Registration Date	Nov. 20, 2013, 2:11 p.m.
Last Update	Jan. 30, 2014, 6:34 p.m.

Affected System

株式会社ロックオン

EC-CUBE 2.12.3

EC-CUBE 2.12.3en

EC-CUBE 2.12.3enP1

EC-CUBE 2.12.3enP2

EC-CUBE 2.12.4

EC-CUBE 2.12.4en

EC-CUBE 2.12.5

EC-CUBE 2.12.5en

EC-CUBE 2.12.6

EC-CUBE 2.12.6en

EC-CUBE 2.13.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-5995	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5995
National Vulnerability Database (NVD)
2	CVE-2013-5995	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5995

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	Name	URL
EC-CUBE
1	チェンジセット 23274	http://svn.ec-cube.net/open_trac/changeset/23274
株式会社ロックオン
2	個人情報漏えいの脆弱性	http://www.ec-cube.net/info/weakness/weakness.php?id=51

その他

No	Name	URL
IPA 重要なセキュリティ情報
1	「EC-CUBE」における情報漏えいの脆弱性対策について(JVN#55630933)	http://www.ipa.go.jp/security/ciadr/vul/20131120-jvn.html
JVN
2	JVN#55630933	http://jvn.jp/jp/JVN55630933/index.html
関連文書
3	株式会社アラタナの告知ページ	http://www.aratana.jp/security/detail.php?id=6

Change Log

No	Changed Details	Date of change
0	[2013年11月20日] 掲載 [2013年11月22日] ベンダ情報：ロックオン (チェンジセット 23274) を追加参考情報：National Vulnerability Database (NVD) (CVE-2013-5995) を追加 [2014年01月30日] 参考情報：関連文書 (株式会社アラタナの告知ページ) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-5995

Summary	data/class/helper/SC_Helper_Address.php in the front-features implementation in LOCKON EC-CUBE 2.12.3 through 2.13.0 allows remote authenticated users to obtain sensitive information via unspecified vectors related to addresses.
Publication Date	Nov. 21, 2013, 1:40 p.m.
Registration Date	Jan. 26, 2021, 3:46 p.m.
Last Update	Nov. 21, 2024, 10:58 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://jvn.jp/en/jp/JVN55630933/index.html
2	http://jvn.jp/en/jp/JVN55630933/index.html
3	http://jvndb.jvn.jp/jvndb/JVNDB-2013-000106
4	http://jvndb.jvn.jp/jvndb/JVNDB-2013-000106
5	http://svn.ec-cube.net/open_trac/changeset/23274	Exploit Patch
6	http://svn.ec-cube.net/open_trac/changeset/23274	Exploit Patch
7	http://www.ec-cube.net/info/weakness/weakness.php?id=51	Exploit Patch
8	http://www.ec-cube.net/info/weakness/weakness.php?id=51	Exploit Patch

Common Vulnerabilities List