複数のEC-CUBE向け決済モジュールに脆弱性 - 特定URLアクセスでコード実行のおそれ
eコマースシステムのEC-CUBE向けに提供されている複数の決済モジュールにおいて、管理画面へログイン中のユーザーに特定URLへアクセスさせることで、任意のPHPコードを実行させることが可能となる脆弱性が明らかとなった。
脆弱性情報のポータルサイトであるJVNによれば、EC-CUBEペイメント事務局が提供する「EC-CUBEペイメント決済モジュール」やGMOペイメントゲートウェイが提供する「GMO-PG決済モジュール(PGマルチペイメントサービス)」の「2.12系」および「2.11系」に複数の脆弱性が含まれていることが明らかとなったもの。
管理画面において、「クロスサイトスクリプティング(XSS)」の脆弱性「CVE-2018-0657」と、入力値の検証に不備により、任意のPHPコードが実行される脆弱性「CVE-2018-0658」が存在。
これら脆弱性は、組み合わせて悪用することが可能で、管理画面へログインしているユーザーに特定のURLへアクセスさせることで、PHPコードを実行させることが可能になるという。
同脆弱性は、三井物産セキュアディレクションの佐藤元氏が情報処理推進機構(IPA)へ報告し、JPCERTコーディネーションセンターが調整を実施。それぞれ脆弱性を修正したアップデートが提供されている。
(Security NEXT - 2018/08/09 )
ツイート
PR
関連記事
「GitLab」にセキュリティアップデート - 脆弱性4件を解消
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定
「XenServer」「Citrix Hypervisor」に脆弱性 - 情報流出やDoS攻撃のおそれ
「PAN-OS」に対するゼロデイ攻撃、国内被害は未確認
「PAN-OS」を狙う「Operation MidnightEclipse」 - 3月下旬より展開
Palo Alto Networksの「PAN-OS」にゼロデイ脆弱性 - パッチを準備中
Fortinet、アドバイザリ13件を公開 - 複数製品の脆弱性を修正
「Rust」によるWindowsバッチ処理に脆弱性 - アップデートが公開
Juniper Networks、セキュリティアドバイザリ36件を公開 - 「クリティカル」も
「PAN-OS」に関する脆弱性7件を修正 - Palo Alto Networks
