こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月17日、EC-CUBE 2系におけるクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes(JVN)」発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】EC-CUBEにクロスサイトスクリプティングの脆弱性が発見されています。ご利用中の方はパッチの適用を検討しましょう。今回見つかった脆弱性の内容と、脆弱性が届け出られる仕組みについて説明します。
今回の脆弱性は、管理画面の「メルマガ管理/テンプレート設定」および「商品管理/商品登録」にクロスサイトスクリプティングの脆弱性が存在するというものです。影響を受けるシステムは、EC-CUBE 2.11.0 から 2.17.2-p1 までです。なお、EC-CUBE 2.11.0より前のバージョンはすでにサポートが終了しているため、開発者では本脆弱性の有無は確認していません。影響として、管理画面にログイン可能な攻撃者によって、他の管理者または当該製品を使用しているサイトにアクセスした第三者のブラウザ上で任意のスクリプトを実行される可能性があるということです。
深刻度を表すCVSSv3の基本値は4.8で、3番目に高い「警告」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2023-40281」を検索してみてください。
EC-CUBEとは、株式会社イーシーキューブが開発しているオープンソースのECサイト向けコンテンツ管理システムです。ECサイトの構築や運営に必要な基本機能が無料で利用できるほか、自由にカスタマイズやプラグインの導入ができます。
EC-CUBEは国内で35,000店舗以上が導入しているため、脆弱性が見つかった際に多くのECサイトが影響を受ける可能性があります。そのような状況を鑑みて、過去に発見されたEC-CUBEの脆弱性でも、開発者がIPAやJPCERT/CCと密に連携することで、情報の共有や公表が速やかに行われています。
クロスサイトスクリプティングとは、悪意のあるスクリプトをユーザーのブラウザ上で実行させることができる脆弱性です。この脆弱性が悪用されることによって、ユーザーの個人情報が盗まれたり、フィッシングサイトに誘導されたり、マルウェアに感染したりする可能性があります。
クロスサイトスクリプティングは、反射型、格納型、DOMベースの3種類に分けられます。反射型は、ユーザーが不正なリンクをクリックした際にスクリプトが実行されるものです。格納型は、Webサイトにあらかじめスクリプトが埋め込まれていて、ユーザーがそのページにアクセスした際にスクリプトが実行されるものです。DOMベースは、Webブラウザ上でJavaScriptの脆弱性を悪用してスクリプトが実行されるものです。
クロスサイトスクリプティングへの対策としては、Webサイトへの入力値に対してエスケープ処理やバリデーション処理を行うことが一般的です。
IPAやJPCERT/CCの主な役割の一つとして、脆弱性関連情報の届出受付が挙げられます。例えば、みなさんが雑貨屋で買った商品が不良品だったら、誰に伝えますか?お客様相談窓口か直接お店に確認すると思います。もし、お店にお客様相談窓口がなく、お店に責任者の方がいなかったらどうでしょうか。ちゃんと対応してくれるか、不安を感じられるかと思います。
脆弱性関連情報も同様で、製品開発者に脆弱性を伝えても、返事がなかったり、適切に対応してれなかったりすることも考えられます。そのために、国のセキュリティ機関である、IPAが脆弱性関連情報の届出受付を行い、JPCERT/CCが製品開発者への調整を行ってくれることで、脆弱性が適切に対応されることを支援してくれます。脆弱性は利用者すべてに影響を及ぼしますので、脆弱性関連情報の届出受付は、とても大切な取り組みの一つとされています。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
