EC-CUBEプラグイン「ソーシャルボタン設置プラグイン -プレミアム-」および、「ソーシャルボタン設置プラグイン」におけるクロスサイト・スクリプティングの脆弱性

公開日 2016年4月5日
最終更新日 2016年4月25日

■概要

EC-CUBEのバージョン2.13.0、2.13.1、2.13.2で利用できる「ソーシャルボタン設置プラグイン -プレミアム-」
および、「ソーシャルボタン設置プラグイン」にクロスサイト・スクリプティングの脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、ウェブブラウザ上で任意のスクリプトを実行されフィッシングサイトへ誘導
される可能性があります。
この問題の影響を受けるEC-CUBEプラグイン「ソーシャルボタン設置プラグイン -プレミアム-」および、「ソーシャルボタン設置プラグイン」の
バージョンを以下に示しますので、バージョンアップをお願いします。

■該当製品の確認方法 影響を受ける製品は以下の製品です。

製品名称 EC-CUBEのバージョン2.13.0、2.13.1、2.13.2 で利用できる
「ソーシャルボタン設置プラグイン -プレミアム-」バージョン1.0および、
「ソーシャルボタン設置プラグイン」バージョン0.1、0.2、0.3。
使用しているバージョン番号の確認方法は以下の通りです。
1.EC-CUBE管理画面にログイン
2.「オーナーズストア」>「プラグイン管理」へ移動
3.「ソーシャルボタン設置プラグイン -プレミアム-」の左にある数値が
 バージョン番号です。

■脆弱性の説明

「ソーシャルボタン設置プラグイン -プレミアム-」および、「ソーシャルボタン設置プラグイン」
は、Twitter、Facebookなど各種ソーシャルボタンを設置するプラグインです。
このプラグインのHTML出力処理時の処理が不十分であったため、
悪意のある第三者により、クロスサイトスクリプティングの脆弱性が存在します。

■脆弱性がもたらす脅威

悪意のある第三者により、ウェブブラウザ上で任意のスクリプトが実行可能になり、
フィッシングサイトへの誘導やウィルスのダウンロードなどの可能性があります。

■対策方法

EC-CUBEプラグイン「ソーシャルボタン設置プラグイン -プレミアム-」の最新版を
ダウンロードして、バージョンアップを行って下さい。
https://www.ec-cube.net/products/detail.php?product_id=799

EC-CUBEプラグイン「ソーシャルボタン設置プラグイン」の最新版を
ダウンロードして、バージョンアップを行って下さい。
http://www.ec-cube.net/products/detail.php?product_id=328

■回避策

この脆弱性は、次に示す手順で影響を緩和できる場合があります。
・EC-CUBEプラグイン「ソーシャルボタン設置プラグイン -プレミアム-」
 もしくは、「ソーシャルボタン設置プラグイン」の機能を無効にする
・EC-CUBEプラグイン「ソーシャルボタン設置プラグイン -プレミアム-」
 もしくは、「ソーシャルボタン設置プラグイン」自体を削除する

■関連情報

JVN#78482127 EC-CUBEプラグイン「ソーシャルボタン設置プラグイン」におけるクロスサイト・スクリプティングの脆弱性

■更新履歴

2016年4月5日 この脆弱性情報ページを公開しました。
2016年4月25日 「ソーシャルボタン設置プラグイン」に関する脆弱性情報を追記。

■連絡先 脆弱性連絡窓口

電話 :06-6556-7983(平日10:00–17:00)
メール:info@cyber-will.co.jp

Regarding the Cross-Site Scripting Vulnerabilities of the EC-CUBE plugin “Social-button Plugin Premium” and “Social-button Plugin”

Original release date: 04/05/2016
Latest update: 04/25/2016

Summary of the issue:

We confirmed that the EC-CUBE plugin “Social-button Plugin Premium” and “Social-button Plugin” contain a cross-site scripting vulnerability (CWE-79).

If a third party misuses it, an inappropriate client-side script can be injected to website and malicious code can be run. If this is the case, users may be lead to the phishing site.

Affected Systems:

EC-CUBE plugin “Social-button Plugin Premium” version 1.0 and “Social-button Plugin” version 0.1, 0.2, 0.3 (available for EC-CUBE version 2.13.0, 2.13.1, 2.13.2)

To check your version, please follow the steps below.
1.Log in to the EC-CUBE admin page
2.Click Owner’s Store > Plugin administration
3.Check the version next to the “Social-button Plugin Premium”

Description of the Vulnerability:

“Social-button Plugin Premium” and “Social-button Plugin” are the plugin to place the social button (Twitter, Facebook, etc.) on products pages of users’ EC-CUBE. However, as the HTML output process on this plugin was not enough, a cross-site scripting vulnerability has occurred.

Impacts:

On website, a malicious client-side script can be injected to the website by a third party. Then, users may be lead to the phishing site or unintentionally download the viruses.

Solution:

Update your plugin to the latest version via the following URL
https://www.ec-cube.net/products/detail.php?product_id=799

If you are using “Social-button Plugin”, please go to the following URL and update it.
http://www.ec-cube.net/products/detail.php?product_id=328

If you cannot update your plugin to the latest version, please try the following options.
1.Disable the EC-CUBE plugin “Social-button Plugin Premium” or “Social-button Plugin”
2.Delete the EC-CUBE plugin “Social-button Plugin Premium” or “Social-button Plugin”

References:

JVN#78482127 EC-CUBE plugin "Social-button Plugin Premium" Cross-Site Scripting Vulnerabilities

Update Info:

Release the above information on April 5, 2016
Add the information about “Social-button Plugin” on April 25, 2016

For further information regarding this issue, please contact us via the following.

Security Team

TEL: 06-6556-7983 (weekdays 10.00am to 5.00pm)
E-mail: info@cyber-will.co.jp

ページTOPヘ