本件はEC-CUBEに関しての一番最初の届出だったのですが、再現方法が複雑で、自分の説明がうまくなかったのもあって、IPAの方と話がうまくかみ合わず苦労した覚えがあります。 これはPostgresを利用しているEC-CUBEの上記バージョンにおいて、不正なUTF-8文字コードをリクエストに含めるとエラーが発生し、エラーメッセージとして、PHPSESSIDに紐づいているPHPセッションオブジェクトに入っている情報の先頭680バイト部分(長さは環境による)が、ユーザーのブラウザ上で暴露されてしまう、という脆弱性と、そのエラーメッセージのダンプにタグを含ませることができ、XSSが可能、という脆弱性です。 再現に使ったPostgreSQLのバージョンは9.2.3で、MySQL利用のEC-CUBEだと再現せず、またEC-CUBE2.12.3では同様の攻撃を行っても情報は出力されませんでした。 当時使
![EC-CUBEで発見した脆弱性の詳細 前編](https://cdn-ak-scissors.b.st-hatena.com/image/square/77bebf01424e9cff7603e198f239a388c6390b2f/height=288;version=1;width=512/https%3A%2F%2F1.bp.blogspot.com%2F-UEwqcYRku8g%2FV7TXJiuAcCI%2FAAAAAAAABEw%2FA0wlCWW-Qt4rtyM3uYYXm6Bty0wA6td7QCLcB%2Fw1200-h630-p-k-no-nu%2Feccube_pg_xss1.png)