Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「EC-CUBE」向け決済モジュールに複数脆弱性

eコマースサイト向けコンテンツマネジメントシステム(CMS)の「EC-CUBE」向けに提供されている決済モジュール「ルミーズ決済モジュール」に複数の脆弱性が含まれていることが明らかとなった。

脆弱性情報のポータルサイトであるJVNによれば、ルミーズが「EC-CUBE 2.13」「同2.12」「同2.11」に提供する「ルミーズ決済モジュール3.0.12」にクロスサイトスクリプティング(XSS)の脆弱性「CVE-2019-6016」や、情報漏洩の脆弱性「CVE-2019-6017」が明らかとなったもの。

モジュールの一部機能が悪用され、ウェブブラウザ上で任意のスクリプトを実行されたり、製品に登録されている情報を取得されるおそれがある。

管理者権限やログインの有無にかかわらず、誰でも攻撃可能が可能。会員の登録有無にかかわらず、注文を行ったことがあるユーザーが被害を受けるおそれがあるという。また同モジュール利用環境では他決済方法にも影響を及ぼすおそれがある。

同脆弱性は、三井物産セキュアディレクションの佐藤元氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施。ルミーズでは、脆弱性を修正した「同3.0.13」をリリースしており、アップデートを呼びかけている。

(Security NEXT - 2019/10/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

偽通販サイトが出没、正規サイトから画像や文章を盗用
警察庁、キャッシュレス決済サービスの不正出金で注意喚起 - 便乗詐欺にも警戒を
教育関連書籍やグッズ扱う通販サイトに不正アクセス
金融業界の横断的演習「Delta Wall V」を実施 - 金融庁
ウェブサービスの画像認証で15%がログイン断念
青学通販サイトに不正アクセス - クレカ情報のほか会員情報なども被害か
東映ビデオの通販サイトで情報流出か - クレカ会社と見解に相違
口座利用者以外が「mijicaカード」を不正作成か - カード到着前に利用形跡
ゆうちょ銀、210件4940万円を補償 - 173件は本人や家族利用として対象外に
ゆうちょ銀「mijicaサイト」で不正ログインか - 一部で機械的な画面遷移