大型連休明けに一大事が発生しました。

EC-CUBE4系にクロスサイトスクリプティング(XSS)の脆弱性が判明したというのです。その手口は攻撃者がEC-CUBEで構築されたECサイト(ネットショップ)に、注文者名などにスクリプトを仕込んだ注文をするというものです。

通常注文のフォームにスクリプトを埋め込んでも、単なる文字列として扱う「サニタイジング(無害化・無効化)」をするのですが、EC-CUBEの管理画面から注文者に送信するメールの履歴を確認すると、スクリプトが実行されてしまうというものでした。

すでに複数のECサイト(ネットショップ)で、クレジットカード情報が流出する被害が発生しているようです。

EC-CUBEの開発元である株式会社イーシーキューブでは、アップデートを行うとともに、アップデートを適用するプラグインも公開しました。茨木広告宣伝舎でも管理しているEC-CUBEサイトでアップデートを実施しました。

そして、それから数日経ってから、WordPressに脆弱性が判明しました。PHPのメール送信ライブラリ「PHPMailer」のオブジェクトインジェクション脆弱性によるもので、3.7から5.7.1までのバージョンで管理画面を乗っ取られる可能性があったそうです。

こちらはWordPress 5.7.1にアップデートされています。

多くのWordPressウェブサイトでは自動アップデートが有効になっているはずですので、すでにほとんどのウェブサイト(ホームページ)で対応が済んでいるはずです。

もし手動更新しているなら、すぐにアップデートすべきです。

独立行政法人情報処理推進機構:「EC-CUBE」におけるクロスサイトスクリプティングの脆弱性について(JVN#97554111)
https://www.ipa.go.jp/security/ciadr/vul/20210510-jvn.html

National Institute of Standards and Technology:NATIONAL VULNERABILITY DATABASE
https://nvd.nist.gov/vuln/detail/CVE-2020-36326
https://nvd.nist.gov/vuln/detail/CVE-2018-19296

EC-CUBEとWordPressに重大な脆弱性が相次いで判明

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

Yahoo!ショッピング制作(申込~開店フルサポート)88,000円から
独自ドメインのインターネット通販サイト構築(運用支援オプションあり)88,000円から
スマホ対応のウェブサイト制作(ホームページ制作)33,000円から