本件はEC-CUBEに関しての一番最初の届出だったのですが、再現方法が複雑で、自分の説明がうまくなかったのもあって、IPAの方と話がうまくかみ合わず苦労した覚えがあります。 これはPostgresを利用しているEC-CUBEの上記バージョンにおいて、不正なUTF-8文字コードをリクエストに含めるとエラーが発生し、エラーメッセージとして、PHPSESSIDに紐づいているPHPセッションオブジェクトに入っている情報の先頭680バイト部分(長さは環境による)が、ユーザーのブラウザ上で暴露されてしまう、という脆弱性と、そのエラーメッセージのダンプにタグを含ませることができ、XSSが可能、という脆弱性です。 再現に使ったPostgreSQLのバージョンは9.2.3で、MySQL利用のEC-CUBEだと再現せず、またEC-CUBE2.12.3では同様の攻撃を行っても情報は出力されませんでした。 当時使
![EC-CUBEで発見した脆弱性の詳細 前編](https://cdn-ak-scissors.b.st-hatena.com/image/square/177ce1c9d40ec53962f2d3eb51046c3c45b2efed/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEiODEeuWGSHXtaKMReJ1ZAx2kjhAdMownaLuTjmwHoT3CisTf0tLbq_AfcnCzskEx-zdicrsRGTLP-okLiqzCvNMhXc8EgkAoiLv2JcI3dL7TnD9ncPqF55aV_NrOPiTjTiyhvox_xdUnEg%2Fw1200-h630-p-k-no-nu%2Feccube_pg_xss1.png)