スポンサードサーチ

情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)により株式会社イーシーキューブが提供するEC-CUBEに、クロスサイトスクリプティング (CWE-79) の脆弱性が存在することが報告されています。

株式会社イーシーキューブからは、該当バージョンに対して、緊急対応のためのHotfixパッチが公開されていますので、これらのバージョンを利用されている方は、至急対応が必要となっています。

EC-CUBE4系ご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されています。

EC-CUBE.net:【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/11 13:00 更新)(2021/05/11)

クロスサイトスクリプティング(XSS)脆弱性

指摘されているのは、クロスサイトスクリプティング(XSS)脆弱性で、EC-CUBE の管理画面において、特定の操作を実行する際に任意のスクリプトが実行されてしまうというものです。

株式会社イーシーキューブが提供する EC-CUBE には、クロスサイトスクリプティングの脆弱性が存在します。

JPCERT/CC:JVN#97554111EC-CUBE におけるクロスサイトスクリプティングの脆弱性

また、本脆弱性を悪用した攻撃がすでに確認されていると伝えています。

対応方法

対応方法としては、パッチファイルの適用、プラグインの適用、バージョンアップの3つがあります。

パッチファイルの適用

対応方法としては、以下のページあるパッチファイルの適用をするか、差分の適用をして、キャッシュ削除をが必要です。

EC-CUBE 4.0系: クロスサイトスクリプティング脆弱性について

プラグインの適用

また、「XSS脆弱性修正プラグイン」もリリースされています。

XSS脆弱性修正プラグイン

ファイルの上書きやソースコードの修正が難しい場合は該当プラグインを適用することで対応ができます。

インストール・実行後、Hotfixパッチの適用及びキャッシュの削除が自動で実行されます。(既にHotfixパッチを適用している場合は、プラグインの利用は不要)

最新版の適用

Hotfixパッチを適用した最新版「 EC-CUBE 4.0.5-p1」 が2021年5月10日にリリースされています。

脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース(2021/05/10)

攻撃された可能性の確認方法ついて

また、攻撃された可能性の確認方法ついても公開されています。

パッチ適用修正実施後、以下リンク先を参照して既に攻撃されていないかの確認ができます。

脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース(2021/05/10):攻撃の確認方法

本脆弱性で攻撃されたかどうかは、顧客/受注/配送データをご確認ください。
名前や住所、会社名などに
<script>~</script>
といった、通常ではあり得ない記号や文字列などが設定されている場合は、攻撃を受けた可能性があります。

今回のケースでは、この受注に対する受注詳細画面からのメール通知のプレビュー画面にて、クロスサイトスクリプティングの攻撃が成立することが確認されていますので、アクセスログ等から該当の受注でメール通知のプレビュー画面を表示していたかをご確認ください。
※攻撃成立に発展する危険性がありますので、攻撃とみられる受注のメール通知のプレビューは絶対に表示しないでください。
※攻撃が成立していた場合、同一サーバーに保管されたログなど、アクセスログなどが改ざんされている可能性があります。

既に攻撃された形跡が確認された場合は、早急にサイトを停止しシステム担当者やセキュリティの専門企業にご相談くださいませ。また、クレジットカード決済を扱われている場合は、クレジットカード会社や決済代行会社にもご報告をお願いします。
攻撃の形跡が確認された場合でもサイト改ざんや情報漏洩等の実被害が発生しているとは限りませんが、今後の被害を発生させないためにもご理解をお願いいたします。

脆弱性対応版「EC-CUBE 4.0.5-p1」をリリース(2021/05/10):攻撃の確認方法

既に攻撃された形跡が確認された場合は、早急にサイトを停止しシステム担当者やセキュリティの専門企業にご相談が必要です。

また、クレジットカード決済を扱われている場合は、クレジットカード会社や決済代行会社にも報告が必要です。

ITのことで、お困りではありませんか?

ITは、コンサルティングからプロジェクトを全体を見据えて実施しなければ上手くいきません。
リソース・シェアリングは、ITのコンシェルジュとして、クライアントにとっての最適解をご提案するコンサルティングから構築・運用・解析までをワンストップで対応できるITコンサルティング会社です。
ITに関してお困りのことがあればお気軽にご相談ください。

ITプロジェクトで最適解を探すなら
御社にとって最適なWebサイト構築をするなら
失敗しないWebシステム開発をするなら
WordPressを活用したいなら
ECサイトを構築したいなら
越境ECサイトを構築したいなら
企業間取引向けECサイトを構築したいなら
マーケットプレス型ECサイトを構築したいなら
課題や事例から最適解を探すなら
リソース・シェアリングの実績
お問合せ

スポンサードサーチ