知って得するセキュリティのはなし その112
EC-CUBEバージョン4系にクロスサイトスクリプティングの脆弱性…アップデートを
1.このニュースをざっくり言うと
- 5月7日(日本時間)、イーシーキューブ社(以下・同社)より、同社開発のECサイト構築用ソフトウェア「EC-CUBE」にクロスサイトスクリプティング(XSS)の脆弱性が発見されたとして注意喚起が出されています(同10日にはIPA・JPCERT/CCからも同様に注意喚起が出されています)。
- 脆弱性はEC-CUBEのバージョン4.0.0以降に存在(バージョン3系・2系には存在しないとのことです)し、不正な入力内容を含む受注等が行われた際、ECサイトの管理画面でそれを表示することにより、不正なスクリプトの実行等が行われる恐れがあるとされています。
- 同社では、既に脆弱性を悪用した攻撃も確認されているとし、4系のユーザーに対し最新バージョン4.0.5-p1へのアップデート(あるいは脆弱性の修正パッチの適用)を強く推奨しています(クラウド版については対策済みとのことです)。
2.執筆者からの所感等
- XSSの脆弱性は、不正なパラメータを含むURLへターゲットを誘導する等で発動する「Reflected XSS(反射型XSS)」と、今回のような「Stored XSS(格納型・持続型XSS)」に分類され、後者のケースではWebサイトを普通に利用する不特定多数のユーザーに対しても影響を及ぼすことも珍しくありません。
- EC-CUBEについては2019年12月にも古いバージョンの脆弱性を悪用した攻撃について注意喚起が出されていました(AUS便り 2020/1/14号参照)が、今回は最も新しいバージョンである4系でのみ存在する脆弱性となることに注意が必要です。
- 今回の脆弱性を悪用した攻撃により、クレジットカード情報が流出したケースもあるとのことで、EC-CUBEを導入しているサイトの管理者においては、速やかに同社の注意喚起を参照するとともに、掲載されている情報をもとに、EC-CUBEのバージョンと対策の要・不要およびサイトにおいて攻撃された痕跡がないかを確認し、適宜対策をとって頂ければ幸いです。