製品・ソフトウェアに関する情報

JVN脆弱性詳細

EC-CUBE におけるクロスサイトスクリプティングの脆弱性

タイトル	EC-CUBE におけるクロスサイトスクリプティングの脆弱性
概要	株式会社ロックオンが提供する EC-CUBE には、クロスサイトスクリプティングの脆弱性が存在します。株式会社ロックオンが提供する EC-CUBE は、オープンソースのショッピングサイト構築システムです。EC-CUBE には、クロスサイトスクリプティングの脆弱性が存在します。なお、本脆弱性は過去に JVN で公開した問題とは異なります。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 三井物産セキュアディレクション寺田健氏
想定される影響	ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
対策	[ファイルを修正する] 開発者が提供する情報をもとにファイルを修正してください。なお、本脆弱性は EC-CUBE 正式版 2.4.4 で修正されています。これから新規に EC-CUBE でサイトを構築する場合は、2.4.4 以降をお使いください。
公表日	2011年2月2日0:00
登録日	2011年2月2日14:01
最終更新日	2011年2月2日14:01

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N

影響を受けるシステム

株式会社ロックオン

EC-CUBE 正式版 2.4.3 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-0451	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0451
National Vulnerability Database (NVD)
2	CVE-2011-0451	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-0451

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
株式会社ロックオン
1	商品一覧画面でのXSS脆弱性	http://www.ec-cube.net/info/weakness/weakness.php?id=36

その他

No	名前	URL
ISS X-Force Database
1	65079	http://xforce.iss.net/xforce/xfdb/65079
JVN
2	JVN#84393059	http://jvn.jp/jp/JVN84393059/index.html
Secunia Advisory
3	SA43153	http://secunia.com/advisories/43153
SecurityFocus
4	46100	http://www.securityfocus.com/bid/46100

変更履歴

No	変更内容	変更日
0	[2011年02月02日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2011-0451

概要	Multiple cross-site scripting (XSS) vulnerabilities in (1) data/Smarty/templates/default/list.tpl and (2) data/Smarty/templates/default/campaign/bloc/cart_tag.tpl in EC-CUBE before 2.4.4 allow remote attackers to inject arbitrary web script or HTML via unspecified vectors.
公表日	2011年2月4日1:00
登録日	2021年1月28日16:37
最終更新日	2024年11月21日10:24

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:lockon:ec-cube:1.4.3:b-beta::::::
cpe:2.3:a:lockon:ec-cube:2.4.0:::::::*
cpe:2.3:a:lockon:ec-cube:2.3.1:::::::*
cpe:2.3:a:lockon:ec-cube:1.4.0:beta::::::
cpe:2.3:a:lockon:ec-cube:2.0.0:beta::::::
cpe:2.3:a:lockon:ec-cube:1.4.7:::::::*
cpe:2.3:a:lockon:ec-cube:1.4.6:::::::*
cpe:2.3:a:lockon:ec-cube:2.11.0:beta::::::
cpe:2.3:a:lockon:ec-cube:1.4.2:beta::::::
cpe:2.3:a:lockon:ec-cube:1.3.4:::::::*
cpe:2.3:a:lockon:ec-cube:1.3.3:::::::*
cpe:2.3:a:lockon:ec-cube:2.3.3:::::::*
cpe:2.3:a:lockon:ec-cube:2.1.0:beta::::::
cpe:2.3:a:lockon:ec-cube:1.3.1:::::::*
cpe:2.3:a:lockon:ec-cube:1.2.0:beta::::::
cpe:2.3:a:lockon:ec-cube:1.3.4:community::::::
cpe:2.3:a:lockon:ec-cube:2.0.1:::::::*
cpe:2.3:a:lockon:ec-cube:2.4.0:rc1::::::
cpe:2.3:a:lockon:ec-cube:1.3.0:beta::::::
cpe:2.3:a:lockon:ec-cube:2.4.4:::::::*
cpe:2.3:a:lockon:ec-cube:2.4.2:::::::*
cpe:2.3:a:lockon:ec-cube:1.4.3:beta::::::
cpe:2.3:a:lockon:ec-cube:1.3.1:a::::::
cpe:2.3:a:lockon:ec-cube:2.2.1:one::::::
cpe:2.3:a:lockon:ec-cube:2.3.0:rc1::::::
cpe:2.3:a:lockon:ec-cube:2.1.2:a::::::
cpe:2.3:a:lockon:ec-cube::::::::		2.4.3
cpe:2.3:a:lockon:ec-cube:2.0.1:a::::::
cpe:2.3:a:lockon:ec-cube:1.4.0:a-beta::::::
cpe:2.3:a:lockon:ec-cube:1.3.2:::::::*
cpe:2.3:a:lockon:ec-cube:1.1.1:::::::*
cpe:2.3:a:lockon:ec-cube:1.4.3:a-beta::::::
cpe:2.3:a:lockon:ec-cube:2.3.4:::::::*
cpe:2.3:a:lockon:ec-cube:2.2.0:beta::::::
cpe:2.3:a:lockon:ec-cube:2.1.2:::::::*
cpe:2.3:a:lockon:ec-cube:2.3.0:::::::*
cpe:2.3:a:lockon:ec-cube:2.4.1:::::::*
cpe:2.3:a:lockon:ec-cube:1.5.0:beta::::::
cpe:2.3:a:lockon:ec-cube:1.1.0:beta::::::
cpe:2.3:a:lockon:ec-cube:1.4.5:::::::*
cpe:2.3:a:lockon:ec-cube:1.4.1:beta::::::
cpe:2.3:a:lockon:ec-cube:1.3.0:::::::*

構成1	以上	以下	より上	未満
cpe:2.3:a:lockon:ec-cube:1.4.3:b-beta::::::
cpe:2.3:a:lockon:ec-cube:2.4.0:::::::*
cpe:2.3:a:lockon:ec-cube:2.3.1:::::::*
cpe:2.3:a:lockon:ec-cube:1.4.0:beta::::::
cpe:2.3:a:lockon:ec-cube:2.0.0:beta::::::
cpe:2.3:a:lockon:ec-cube:1.4.7:::::::*
cpe:2.3:a:lockon:ec-cube:1.4.6:::::::*
cpe:2.3:a:lockon:ec-cube:2.11.0:beta::::::
cpe:2.3:a:lockon:ec-cube:1.4.2:beta::::::
cpe:2.3:a:lockon:ec-cube:1.3.4:::::::*
cpe:2.3:a:lockon:ec-cube:1.3.3:::::::*
cpe:2.3:a:lockon:ec-cube:2.3.3:::::::*
cpe:2.3:a:lockon:ec-cube:2.1.0:beta::::::
cpe:2.3:a:lockon:ec-cube:1.3.1:::::::*
cpe:2.3:a:lockon:ec-cube:1.2.0:beta::::::
cpe:2.3:a:lockon:ec-cube:1.3.4:community::::::
cpe:2.3:a:lockon:ec-cube:2.0.1:::::::*
cpe:2.3:a:lockon:ec-cube:2.4.0:rc1::::::
cpe:2.3:a:lockon:ec-cube:1.3.0:beta::::::
cpe:2.3:a:lockon:ec-cube:2.4.4:::::::*
cpe:2.3:a:lockon:ec-cube:2.4.2:::::::*
cpe:2.3:a:lockon:ec-cube:1.4.3:beta::::::
cpe:2.3:a:lockon:ec-cube:1.3.1:a::::::
cpe:2.3:a:lockon:ec-cube:2.2.1:one::::::
cpe:2.3:a:lockon:ec-cube:2.3.0:rc1::::::
cpe:2.3:a:lockon:ec-cube:2.1.2:a::::::
cpe:2.3:a:lockon:ec-cube::::::::		2.4.3
cpe:2.3:a:lockon:ec-cube:2.0.1:a::::::
cpe:2.3:a:lockon:ec-cube:1.4.0:a-beta::::::
cpe:2.3:a:lockon:ec-cube:1.3.2:::::::*
cpe:2.3:a:lockon:ec-cube:1.1.1:::::::*
cpe:2.3:a:lockon:ec-cube:1.4.3:a-beta::::::
cpe:2.3:a:lockon:ec-cube:2.3.4:::::::*
cpe:2.3:a:lockon:ec-cube:2.2.0:beta::::::
cpe:2.3:a:lockon:ec-cube:2.1.2:::::::*
cpe:2.3:a:lockon:ec-cube:2.3.0:::::::*
cpe:2.3:a:lockon:ec-cube:2.4.1:::::::*
cpe:2.3:a:lockon:ec-cube:1.5.0:beta::::::
cpe:2.3:a:lockon:ec-cube:1.1.0:beta::::::
cpe:2.3:a:lockon:ec-cube:1.4.5:::::::*
cpe:2.3:a:lockon:ec-cube:1.4.1:beta::::::
cpe:2.3:a:lockon:ec-cube:1.3.0:::::::*

No	URL	タグ
1	http://jvn.jp/en/jp/JVN84393059/index.html
2	http://jvndb.jvn.jp/en/contents/2011/JVNDB-2011-000011.html
3	http://secunia.com/advisories/43153	Vendor Advisory
4	http://svn.ec-cube.net/open_trac/changeset/18742	Patch
5	http://www.ec-cube.net/info/weakness/weakness.php?id=36
6	http://www.securityfocus.com/bid/46100
7	https://exchange.xforce.ibmcloud.com/vulnerabilities/65079
8	http://jvn.jp/en/jp/JVN84393059/index.html
9	https://exchange.xforce.ibmcloud.com/vulnerabilities/65079
10	http://www.securityfocus.com/bid/46100
11	http://www.ec-cube.net/info/weakness/weakness.php?id=36
12	http://svn.ec-cube.net/open_trac/changeset/18742	Patch
13	http://secunia.com/advisories/43153	Vendor Advisory
14	http://jvndb.jvn.jp/en/contents/2011/JVNDB-2011-000011.html