Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「EC-CUBE」の無償診断サービスが緊急脆弱性に対応 - 痕跡調査も

緊急性が高い脆弱性が「EC-CUBE」に明らかとなった問題を受け、SHIFT SECURITYは、無償で提供している脆弱性診断サービスの内容を拡充した。

「EC-CUBE 4.0系」において、「クロスサイトスクリプティング(XSS)」の脆弱性「CVE-2021-20717」が判明し、脆弱性が悪用されてクレジットカード情報が抜き出される被害が生じていることから、「EC-CUBE向け無償セキュリティ診断」のサービス範囲を拡大したもの。人的リソースやノウハウが不足する事業者の診断ニーズに対応する。

同サービスでは、クレジットカードの流出につながるおそれがある脆弱性の影響を受けないか、「EC-CUBE」のバージョンより診断を実施するほか、アクセスログを提供することで、今回、ゼロデイ攻撃が確認されている「CVE-2021-20717」に対する攻撃の痕跡がないかフォレンジック調査を実施。最短で翌営業日までにメールで診断結果を通知する。

(Security NEXT - 2021/05/12 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「EC-CUBE」や公式プラグインに脆弱性 - バグバウンティ契機に発見
EGセキュア、クラウド型WAFサービスを提供 - CMS向け設定や国別フィルタも
EC-CUBEが新版公開に向けてバグバウンティを開催中 - 脆弱性診断にはないメリットも
「EC-CUBE」向けプラグイン「簡単ブログ for EC-CUBE4」に脆弱性
「EC-CUBE」向け「メルマガ管理プラグイン」に脆弱性
「EC-CUBE」に脆弱性 - 危険度は「低」
スイーツ通販サイトに不正アクセス、ゼロデイ脆弱性の発見から被害に気づく
「EC-CUBE 2」系に複数の脆弱性 - アップデートが公開
EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」に脆弱性 - 利用中止を
「EC-CUBE」の一覧画面をカスタマイズするプラグインに脆弱性