【PR】当Webサイトのコンテンツにはプロモーション(広告)が含まれています
スポンサードサーチ
情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)により株式会社イーシーキューブが提供するEC-CUBEに、クロスサイトスクリプティング (CWE-79) の脆弱性が存在することが報告されています。
株式会社イーシーキューブからは、該当バージョンに対して、緊急対応のためのHotfixパッチが公開されていますので、これらのバージョンを利用されている方は、至急対応が必要となっています。
EC-CUBE4系ご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されています。
EC-CUBE.net:【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/11 13:00 更新)(2021/05/11)
目次
クロスサイトスクリプティング(XSS)脆弱性
指摘されているのは、クロスサイトスクリプティング(XSS)脆弱性で、EC-CUBE の管理画面において、特定の操作を実行する際に任意のスクリプトが実行されてしまうというものです。
株式会社イーシーキューブが提供する EC-CUBE には、クロスサイトスクリプティングの脆弱性が存在します。
JPCERT/CC:JVN#97554111EC-CUBE におけるクロスサイトスクリプティングの脆弱性
また、本脆弱性を悪用した攻撃がすでに確認されていると伝えています。
対応方法
対応方法としては、パッチファイルの適用、プラグインの適用、バージョンアップの3つがあります。
パッチファイルの適用
対応方法としては、以下のページあるパッチファイルの適用をするか、差分の適用をして、キャッシュ削除をが必要です。
EC-CUBE 4.0系: クロスサイトスクリプティング脆弱性について
プラグインの適用
また、「XSS脆弱性修正プラグイン」もリリースされています。
ファイルの上書きやソースコードの修正が難しい場合は該当プラグインを適用することで対応ができます。
インストール・実行後、Hotfixパッチの適用及びキャッシュの削除が自動で実行されます。(既にHotfixパッチを適用している場合は、プラグインの利用は不要)
最新版の適用
Hotfixパッチを適用した最新版「 EC-CUBE 4.0.5-p1」 が2021年5月10日にリリースされています。
脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース(2021/05/10)
攻撃された可能性の確認方法ついて
また、攻撃された可能性の確認方法ついても公開されています。
パッチ適用修正実施後、以下リンク先を参照して既に攻撃されていないかの確認ができます。
脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース(2021/05/10):攻撃の確認方法
本脆弱性で攻撃されたかどうかは、顧客/受注/配送データをご確認ください。
名前や住所、会社名などに
<script>~</script>
といった、通常ではあり得ない記号や文字列などが設定されている場合は、攻撃を受けた可能性があります。今回のケースでは、この受注に対する受注詳細画面からのメール通知のプレビュー画面にて、クロスサイトスクリプティングの攻撃が成立することが確認されていますので、アクセスログ等から該当の受注でメール通知のプレビュー画面を表示していたかをご確認ください。
※攻撃成立に発展する危険性がありますので、攻撃とみられる受注のメール通知のプレビューは絶対に表示しないでください。
※攻撃が成立していた場合、同一サーバーに保管されたログなど、アクセスログなどが改ざんされている可能性があります。既に攻撃された形跡が確認された場合は、早急にサイトを停止しシステム担当者やセキュリティの専門企業にご相談くださいませ。また、クレジットカード決済を扱われている場合は、クレジットカード会社や決済代行会社にもご報告をお願いします。
脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース(2021/05/10):攻撃の確認方法
攻撃の形跡が確認された場合でもサイト改ざんや情報漏洩等の実被害が発生しているとは限りませんが、今後の被害を発生させないためにもご理解をお願いいたします。
既に攻撃された形跡が確認された場合は、早急にサイトを停止しシステム担当者やセキュリティの専門企業にご相談が必要です。
また、クレジットカード決済を扱われている場合は、クレジットカード会社や決済代行会社にも報告が必要です。
ECサイト&マーケットプレイスサイトを低コスト・短納期で構築するなら
多言語・多通貨対応ECサイト&マーケットプレイスサイト構築パッケージ CS-Cart は、B2C、B2B、B2B2C、B2B2Bのどのビジネスモデルにも対応したECサイト&マーケットプレイスサイトを低コスト・短納期で構築が可能です。
ECサイトやマーケットプレイスサイトの構築を検討している場合には、是非ご検討ください。
経営課題の解決でお困りではありませんか?
DXを始めとするITを使った経営課題の解決が上手くいっていない企業は数多くあります。
それは、単なるソリューションの導入や、社内人材への丸投げとなっており、課題解決がゴールになっていないからです。
そのためには、経営とITを理解した人材が、経営者層と共に取り組み、経営者の頭の中を可視化することが必須要件です。
現在、1時間の無料オンライン・コンサルティングを実施しております。
是非この機会にご相談ください。
経営課題を解決するWebサイト構築の最適解は?
経営課題を解決するWebサイトとは、何をおいてもWebサイトに集客する事が必須要件です。
そうなると、最強のWebサイトとは「検索エンジンへの登録と分析、GA4での現状分析ができ、集客のための実施施策に落とし込みができ、コンバージョンに繋げられ、改善の分析ができるWebサイト」一択です。
まずは、現状のWebサイトが経営課題を解決することができるのかをまずご相談ください。
ECサイトの最適解はクライアント毎に異なります
経営課題を解決する最適なECサイト、越境ECサイト、BtoB ECサイト、マーケットプレイスを構築するためのシステムは、クライアント毎に異なります。
まずは、御社にとって経営課題を解決するには、どういったシステムが必要であり、ASP、SaaS、パッケージ、フルスクラッチのどれが最適なのかの検証が必要です。
スポンサードサーチ