「EC-CUBE」向け決済モジュールに複数脆弱性

eコマースサイト向けコンテンツマネジメントシステム（CMS）の「EC-CUBE」向けに提供されている決済モジュール「ルミーズ決済モジュール」に複数の脆弱性が含まれていることが明らかとなった。

脆弱性情報のポータルサイトであるJVNによれば、ルミーズが「EC-CUBE 2.13」「同2.12」「同2.11」に提供する「ルミーズ決済モジュール3.0.12」にクロスサイトスクリプティング（XSS）の脆弱性「CVE-2019-6016」や、情報漏洩の脆弱性「CVE-2019-6017」が明らかとなったもの。

モジュールの一部機能が悪用され、ウェブブラウザ上で任意のスクリプトを実行されたり、製品に登録されている情報を取得されるおそれがある。

管理者権限やログインの有無にかかわらず、誰でも攻撃可能が可能。会員の登録有無にかかわらず、注文を行ったことがあるユーザーが被害を受けるおそれがあるという。また同モジュール利用環境では他決済方法にも影響を及ぼすおそれがある。

同脆弱性は、三井物産セキュアディレクションの佐藤元氏が情報処理推進機構（IPA）へ報告したもので、JPCERTコーディネーションセンターが調整を実施。ルミーズでは、脆弱性を修正した「同3.0.13」をリリースしており、アップデートを呼びかけている。

（Security NEXT - 2019/10/07 ） ツイート

PR

関連記事

1月はフィッシング報告数が6.2％増 - URL件数は減少
「ギター・マガジンWEB」が改ざん、外部サイトへ転送
フィッシング報告が2カ月連続で減少 - ただし悪用URLは増加
サポート詐欺で約2.5億円被害、PC遠隔操作から不正送金 - 信和
ウェブサーバにマルウェア、情報流出は否定 - アジア学院
美容器具の卸売通販サイトで情報流出の可能性 - 詳細を調査
包装資材通販サイトの侵害、決済アプリ改ざんで個人情報流出の可能性
「セキュリティ10大脅威2026」発表 - 多岐にわたる脅威「AIリスク」が初選出
カーテン通販サイトで決済アプリ改ざん - 個人情報流出の可能性
受講マッチングサービスの利用者でクレカ不正利用被害 - 関連を調査