製品・ソフトウェアに関する情報

JVN脆弱性詳細

EC-CUBE 用プラグイン「ソーシャルボタン設置プラグイン -プレミアム-」および「ソーシャルボタン設置プラグイン」におけるクロスサイトスクリプティングの脆弱性

Title	EC-CUBE 用プラグイン「ソーシャルボタン設置プラグイン -プレミアム-」および「ソーシャルボタン設置プラグイン」におけるクロスサイトスクリプティングの脆弱性
Summary	株式会社サイバーウィルが提供する EC-CUBE 用プラグイン「ソーシャルボタン設置プラグイン -プレミアム-」および「ソーシャルボタン設置プラグイン」には、クロスサイトスクリプティング (CWE-79) の脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 株式会社トレードワークスセキュリティ事業部佐藤元氏
Possible impacts	ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
Publication Date	April 8, 2016, midnight
Registration Date	April 8, 2016, 12:02 p.m.
Last Update	May 6, 2016, 4:13 p.m.

Affected System

株式会社サイバーウィル

ソーシャルボタン設置プラグインバージョン 0.1

ソーシャルボタン設置プラグインバージョン 0.2

ソーシャルボタン設置プラグインバージョン 0.3

ソーシャルボタン設置プラグインバージョン 0.1

ソーシャルボタン設置プラグインバージョン 0.2

ソーシャルボタン設置プラグインバージョン 0.3

ソーシャルボタン設置プラグイン -プレミアム- バージョン 1.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-1180	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1180
2	CVE-2016-1180	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1180
National Vulnerability Database (NVD)
3	CVE-2016-1180	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1180
4	CVE-2016-1180	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1180

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html
2	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
EC-CUBE
1	ダウンロード: ソーシャルボタン設置プラグイン -プレミアム-	https://www.ec-cube.net/products/detail.php?product_id=799
2	ダウンロード: ソーシャルボタン設置プラグイン -プレミアム-	https://www.ec-cube.net/products/detail.php?product_id=799
株式会社サイバーウィル
3	株式会社サイバーウィルの告知ページ	http://www.cyber-will.co.jp/SA_JVN_78482127
4	株式会社サイバーウィルの告知ページ	http://www.cyber-will.co.jp/SA_JVN_78482127

その他

Change Log

No	Changed Details	Date of change
0	[2016年04月08日] 掲載 [2016年04月28日] ベンダ情報：ロックオン (ダウンロード: ソーシャルボタン設置プラグイン -プレミアム-) を追加参考情報：National Vulnerability Database (NVD) (CVE-2016-1180) を追加 [2016年05月06日] タイトル：内容を更新概要：内容を更新影響を受けるシステム：内容を更新	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-1180

Summary	Cross-site scripting (XSS) vulnerability in the Cyber-Will Social-button Premium plugin before 1.1 for EC-CUBE 2.13.x allows remote attackers to inject arbitrary web script or HTML via unspecified vectors.
Publication Date	April 9, 2016, 12:59 a.m.
Registration Date	Jan. 26, 2021, 2:06 p.m.
Last Update	Nov. 21, 2024, 11:45 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:cyber-will:social-button_premium::::::ec-cube::*			1.0
execution environment
1	cpe:2.3:a:ec-cube:ec-cube:2.13.0:::::::*
2	cpe:2.3:a:ec-cube:ec-cube:2.13.1:::::::*
3	cpe:2.3:a:ec-cube:ec-cube:2.13.2:::::::*

Related information, measures and tools

No	URL	タグ
1	http://jvn.jp/en/jp/JVN78482127/index.html	Vendor Advisory
2	http://jvn.jp/en/jp/JVN78482127/index.html	Vendor Advisory
3	http://jvndb.jvn.jp/jvndb/JVNDB-2016-000048	Third Party Advisory VDB Entry Vendor Advisory
4	http://jvndb.jvn.jp/jvndb/JVNDB-2016-000048	Third Party Advisory VDB Entry Vendor Advisory
5	http://www.cyber-will.co.jp/SA_JVN_78482127	Vendor Advisory
6	http://www.cyber-will.co.jp/SA_JVN_78482127	Vendor Advisory
7	https://www.ec-cube.net/products/detail.php?product_id=799	Vendor Advisory
8	https://www.ec-cube.net/products/detail.php?product_id=799	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html