セキュリティの
学び場

今回の解説ニュース

EC-CUBEにクロスサイトスクリプティングの脆弱性が発見されたということです。該当するバージョンをお使いの方は、修正パッチの適用を検討しましょう。クロスサイトスクリプティングによって発生する影響や、その対策について説明します。

今回の脆弱性は、EC-CUBEにクロスサイトスクリプティングの脆弱性が複数発見されました。脆弱性の影響を受けるバージョンは、EC-CUBE 2系～4系が挙げられています。脆弱性の深刻度を表すCVSS v3の基本値はいずれも5.4で、上から3番目に高い「警告」とされています。割り当てられたCVE番号は、CVE-2023-22438、CVE-2023-25077、CVE-2023-22838の3つです。脆弱性の詳細はCVE番号で検索して確認してください。

これらの脆弱性が悪用されると、当該製品の管理画面やサイトにアクセスしたユーザのWebブラウザ上で、任意のスクリプトを実行されるといった影響を受ける可能性があるということです。JVNでは、開発者が提供する情報をもとに最新版の「EC-CUBE 4.2.1」にアップデートするよう呼びかけています。また開発者は、アップデートを適用できないユーザに向けて修正パッチを提供しています。

商用で利用されるEC-CUBE、XSSが見つかる事で何が起こる？

クロスサイトスクリプティングの脆弱性が悪用されると、アクセスしたユーザのWebブラウザ上で、任意のスクリプトが実行されます。具体的に何が発生するか、過去の事例も交えながら説明します。

まず、攻撃者によって、クロスサイトスクリプティングの脆弱性があるEC-CUBEを使ったWebサイトに対して、攻撃コードが埋め込まれます。今回、発見された脆弱性の場合、コンテンツ管理、認証キー設定、商品一覧および商品詳細に攻撃コードを埋め込むことができるということです。

そして、攻撃コードが埋め込まれたWebサイトにアクセスしたユーザのWebブラウザ上で、任意のスクリプトが実行されることになります。アクセスしたユーザがWebサイトで買い物をするユーザであれば、そのユーザが乗っ取られてしまう可能性があります。

もし、アクセスしたユーザがWebサイトの管理者であれば、その被害はさらに甚大となります。過去に別の脆弱性で、管理者のユーザが乗っ取られることにより、Webサイトにバックドアが仕掛けられ、クレジットカード情報が窃取される被害が発生したことが確認されています。

XSSが発見された時、修正パッチを適用する以外の対応策

修正パッチを適用すること以外にクロスサイトスクリプティングの被害を未然に防ぐ対策として、Webアプリケーションファイアウォール略してWAFの導入や、コンテンツセキュリティポリシーヘッダ略してCSPヘッダを利用することが挙げられます。少し技術的な内容になりますが、できるだけわかりやすく説明します。

Webサイトの管理者側ができる対策として、WAFを導入することが挙げられます。Webサイトにクロスサイトスクリプティングの脆弱性がある場合、攻撃者によって攻撃コードが仕掛けられた、脆弱性のあるWebサイトに対するアクセスが必要となります。WAFはこの、悪意のあるリクエストを止めることができる場合がありますので、未然にクロスサイトスクリプティングの影響を防ぐことができる可能性があります。

ただし、クロスサイトスクリプティングの影響は、脆弱性のあるWebサイトに対するリクエストを伴わずに発生することもあります。その場合は、Webサイトのレスポンスに含まれるCSPヘッダでスクリプトが実行されることを禁止することができます。かつては、X-XSS-Protectionヘッダが存在していましたが、最新版のWebブラウザではサポートされていないようです。

今回は、クロスサイトスクリプティングによって発生する影響や、その対策についてお届けしました。