is702
is702はトレンドマイクロが提供するインターネットを
安全に楽しむためのセキュリティ情報サイトです。
is702はトレンドマイクロが提供するインターネットを安全に楽しむためのセキュリティ情報サイトです。
ニュース

ショッピングサイト構築システム「EC-CUBE」利用事業者は至急対応を、既に悪用が確認されている脆弱性発覚

2021/05/12

独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は5月10日、イーシーキューブが提供するオープンソースのショッピングサイト構築システム「EC-CUBE」に、深刻な脆弱性が存在するとして注意を呼びかけました。開発元のイーシーキューブも、緊急対応のためのパッチを公開しています。

EC-CUBEのバージョン4.0.0から4.0.5までには、「クロスサイトスクリプティング(XSS)の脆弱性」(CVE-2021-20717)が存在し、「EC-CUBE」の管理画面において、任意のスクリプトを実行させることができます。この脆弱性が悪用された場合には、ECサイトへの不正アクセスや個人情報の窃取などが行われる可能性があります。

関連リンク:
クロスサイトスクリプティング(XSS)とは?|トレンドマイクロ

イーシーキューブによれば、すでに本脆弱性を悪用した攻撃が複数発生しており、クレジットカード情報が流出した事例も確認されています。利用中の事業者は早急なパッチの適用やバージョンアップを行ってください。
ただし、不審なデータを管理画面から参照すると攻撃が成立する可能性があるとし、不審なデータを捜索する場合は、管理画面から確認せず、データベースや受注メールから調査するよう、イーシーキューブは推奨しています。具体的な方法はイーシーキューブが公開している対応策を参照してください。
なお、クラウド版の「ec-cube.co」はパッチ適用済みとのことです。

2019年にもEC-CUBEの脆弱性悪用によって正規サイトが不正に改ざんされ、複数のECサイトからクレジットカード情報が多数漏えいしました。本件に限らずECサイトの管理者はシステムの脆弱性を放置しないよう適切な管理体制を整えるとともに、脆弱性を悪用した攻撃をブロックするセキュリティ製品を活用し、不正な改ざんが行われないよう対策を行ってください。

また一般利用者は、日頃からクレジットカードの利用履歴確認を習慣化するとともに、不正なスクリプトを含む不正サイトにアクセスしてしまわないよう、セキュリティ製品をインストールし、最新の状態に保って利用しましょう。

  • 沖縄市市民活動交流センター:バナー
沖縄市市民活動交流センター:バナー