大型連休明けに一大事が発生しました。
EC-CUBE4系にクロスサイトスクリプティング(XSS)の脆弱性が判明したというのです。その手口は攻撃者がEC-CUBEで構築されたECサイト(ネットショップ)に、注文者名などにスクリプトを仕込んだ注文をするというものです。
通常注文のフォームにスクリプトを埋め込んでも、単なる文字列として扱う「サニタイジング(無害化・無効化)」をするのですが、EC-CUBEの管理画面から注文者に送信するメールの履歴を確認すると、スクリプトが実行されてしまうというものでした。
すでに複数のECサイト(ネットショップ)で、クレジットカード情報が流出する被害が発生しているようです。
EC-CUBEの開発元である株式会社イーシーキューブでは、アップデートを行うとともに、アップデートを適用するプラグインも公開しました。茨木広告宣伝舎でも管理しているEC-CUBEサイトでアップデートを実施しました。
そして、それから数日経ってから、WordPressに脆弱性が判明しました。PHPのメール送信ライブラリ「PHPMailer」のオブジェクトインジェクション脆弱性によるもので、3.7から5.7.1までのバージョンで管理画面を乗っ取られる可能性があったそうです。
こちらはWordPress 5.7.1にアップデートされています。
多くのWordPressウェブサイトでは自動アップデートが有効になっているはずですので、すでにほとんどのウェブサイト(ホームページ)で対応が済んでいるはずです。
もし手動更新しているなら、すぐにアップデートすべきです。
独立行政法人情報処理推進機構:「EC-CUBE」におけるクロスサイトスクリプティングの脆弱性について(JVN#97554111)
https://www.ipa.go.jp/security/ciadr/vul/20210510-jvn.html
National Institute of Standards and Technology:NATIONAL VULNERABILITY DATABASE
https://nvd.nist.gov/vuln/detail/CVE-2020-36326
https://nvd.nist.gov/vuln/detail/CVE-2018-19296
