CVE-2022-27174

MITJÀ: (4.3)

CVSS6: 3.8

El connector Easy Blog per EC-CUBE4 és vulnerable a la falsificació de sol·licituds entre llocs, causada per una validació incorrecta de l’entrada subministrada per l’usuari. En persuadir un usuari autenticat de visitar un lloc web maliciós, un atacant remot podria enviar una sol·licitud HTTP mal formada per eliminar articles i categories de blocs. Un atacant podria explotar aquesta vulnerabilitat per realitzar atacs de scripting entre llocs, enverinament per memòria cau web i altres activitats malicioses.

Sistemes Afectats

• EC-CUBE Easy Blog plugin for EC-CUBE4 1.0.1
• EC-CUBE Easy Blog plugin for EC-CUBE4 1.0.0

Remediació
Actualitzeu a l’última versió del connector Easy Blog per a EC-CUBE4 (1.0.2 o posterior), disponible des del lloc web EC-CUBE.

Referències

• http://jvn.jp/en/jp/JVN46241173/index.html
• https://www.ec-cube.net/products/detail.php?product_id=2217
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27174