サイバーウィル、EC-CUBEプラグイン「ソーシャルボタン設置プラグイン -プレミアム-」にクロスサイトスクリプティングの脆弱性を確認
サイバーウィルのEC-CUBE用プラグインの「ソーシャルボタン設置プラグイン -プレミアム-」にクロスサイトスクリプティングの脆弱性が確認された。影響を受けるのはEC-CUBEのバージョン2.13.0、2.13.1、2.13.2で利用できるソーシャルボタン設置プラグイン -プレミアム- バージョン 1.0で、HTML出力処理時の処理が不十分であることによりクロスサイトスクリプティングの脆弱性が存在する。この脆弱性が悪用されると、ウェブブラウザ上で任意のスクリプトが実行されフィッシングサイトへの誘導やウィルスがダウンロードされる恐れがある。解決策として、ソーシャルボタン設置プラグイン -プレミアム- バージョン 1.1が公開されており、アップデートによりこの脆弱性は解消される。回避策として、ソーシャルボタン設置プラグイン -プレミアム-自体を削除又は機能無効にすることによりこの脆弱性は軽減できる。
