セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 「EC-CUBE」に複数のXSSの脆弱性、発見で何が起こるのか

「EC-CUBE」に複数のXSSの脆弱性、発見で何が起こるのか

「EC-CUBE」に複数のXSSの脆弱性、発見で何が起こるのか
目次
  • 今回の解説ニュース
  • 商用で利用されるEC-CUBE、XSSが見つかる事で何が起こる?
  • XSSが発見された時、修正パッチを適用する以外の対応策

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

「EC-CUBE」に複数のXSSの脆弱性、対策版および修正パッチを提供

IPAおよびJPCERT/CCは、イーシーキューブが提供する「EC-CUBE」に複数のクロスサイトスクリプティングの脆弱性が存在すると「JVN」で発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

EC-CUBEにクロスサイトスクリプティングの脆弱性が発見されたということです。該当するバージョンをお使いの方は、修正パッチの適用を検討しましょう。クロスサイトスクリプティングによって発生する影響や、その対策について説明します。

今回の脆弱性は、EC-CUBEにクロスサイトスクリプティングの脆弱性が複数発見されました。脆弱性の影響を受けるバージョンは、EC-CUBE 2系~4系が挙げられています。脆弱性の深刻度を表すCVSS v3の基本値はいずれも5.4で、上から3番目に高い「警告」とされています。割り当てられたCVE番号は、CVE-2023-22438、CVE-2023-25077、CVE-2023-22838の3つです。脆弱性の詳細はCVE番号で検索して確認してください。

これらの脆弱性が悪用されると、当該製品の管理画面やサイトにアクセスしたユーザのWebブラウザ上で、任意のスクリプトを実行されるといった影響を受ける可能性があるということです。JVNでは、開発者が提供する情報をもとに最新版の「EC-CUBE 4.2.1」にアップデートするよう呼びかけています。また開発者は、アップデートを適用できないユーザに向けて修正パッチを提供しています。

商用で利用されるEC-CUBE、XSSが見つかる事で何が起こる?

クロスサイトスクリプティングの脆弱性が悪用されると、アクセスしたユーザのWebブラウザ上で、任意のスクリプトが実行されます。具体的に何が発生するか、過去の事例も交えながら説明します。

まず、攻撃者によって、クロスサイトスクリプティングの脆弱性があるEC-CUBEを使ったWebサイトに対して、攻撃コードが埋め込まれます。今回、発見された脆弱性の場合、コンテンツ管理、認証キー設定、商品一覧および商品詳細に攻撃コードを埋め込むことができるということです。

そして、攻撃コードが埋め込まれたWebサイトにアクセスしたユーザのWebブラウザ上で、任意のスクリプトが実行されることになります。アクセスしたユーザがWebサイトで買い物をするユーザであれば、そのユーザが乗っ取られてしまう可能性があります。

もし、アクセスしたユーザがWebサイトの管理者であれば、その被害はさらに甚大となります。過去に別の脆弱性で、管理者のユーザが乗っ取られることにより、Webサイトにバックドアが仕掛けられ、クレジットカード情報が窃取される被害が発生したことが確認されています。

XSSが発見された時、修正パッチを適用する以外の対応策

修正パッチを適用すること以外にクロスサイトスクリプティングの被害を未然に防ぐ対策として、Webアプリケーションファイアウォール略してWAFの導入や、コンテンツセキュリティポリシーヘッダ略してCSPヘッダを利用することが挙げられます。少し技術的な内容になりますが、できるだけわかりやすく説明します。

Webサイトの管理者側ができる対策として、WAFを導入することが挙げられます。Webサイトにクロスサイトスクリプティングの脆弱性がある場合、攻撃者によって攻撃コードが仕掛けられた、脆弱性のあるWebサイトに対するアクセスが必要となります。WAFはこの、悪意のあるリクエストを止めることができる場合がありますので、未然にクロスサイトスクリプティングの影響を防ぐことができる可能性があります。

ただし、クロスサイトスクリプティングの影響は、脆弱性のあるWebサイトに対するリクエストを伴わずに発生することもあります。その場合は、Webサイトのレスポンスに含まれるCSPヘッダでスクリプトが実行されることを禁止することができます。かつては、X-XSS-Protectionヘッダが存在していましたが、最新版のWebブラウザではサポートされていないようです。

今回は、クロスサイトスクリプティングによって発生する影響や、その対策についてお届けしました。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ