EC-CUBE2.11系、2.12系のEC-CUBEペイメント、およびGMO-PG決済モジュールに複数の脆弱性
2018年8月9日、JVN(Japan Vulnerability Notes)より、EC-CUBE2.11系、2.12系のEC-CUBEペイメント、およびGMO-PG決済モジュール (PGマルチペイメントサービス)に複数の脆弱性があると報告がありました。
JVN#06372244 EC-CUBEペイメント決済モジュールおよび EC-CUBE用 GMO-PG決済モジュール (PGマルチペイメントサービス) における複数の脆弱性
GMOペイメントゲートウェイ株式会社が提供する「EC-CUBEペイメント決済モジュール」および「EC-CUBE用GMO-PG決済モジュール(PGマルチペイメントサービス)」に、次の脆弱性が存在するとのことです。
- 管理画面におけるクロスサイトスクリプティングの脆弱性 (CWE-79) – CVE-2018-0657
- 管理画面における入力値検証不備の脆弱性 (CWE-20) – CVE-2018-0658
脆弱性による想定される影響
決済モジュールの脆弱性により、次のような影響を受ける可能性があります。
- EC-CUBE 管理画面にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される – CVE-2018-0657
- EC-CUBE 管理画面にログインしているユーザにより、サーバ上で任意の PHP コードを実行される – CVE-2018-06588
また、2つの脆弱性を組み合わせると、EC-CUBE管理画面にログインしているユーザが細工されたURLにアクセスすることで、サーバ上で任意の PHP コードを実行される可能性があります。
その為、EC-CUBEペイメントもしくはPGマルチペイメントサービスをご利用のECサイトは、直ちにモジュールを最新版にアップデートしてください。
EC-CUBEオーナーズストア
GMO-PGでは過去に個人情報漏洩が発生していますので、今後もセキュリティに関しては十分に配慮して頂きたいです。
GMOペイメントゲートウェイ 不正アクセスによる個人情報漏洩事故
「東京都税クレジットカードお支払いサイト」と「団体信用生命保険特約料クレジットカード支払いサイト」で不正アクセスが発生2017年3月10日、GMOペイメントゲートウェイ株式会社(以下GMO-PG)が、運営受託する東京都の「東京都税クレジッ...
www.thank-u.net
2017.03.28
投稿者プロフィール
- HTMLコーディングをはじめフロントエンド開発がメイン業務。
EC-CUBE、WordPressを勉強中。
猫好き。
野良猫を見かけたら、ついつい声を掛けてしまいます。
(ペットロスが嫌なので飼わない主義)
