EC-CUBE2.11、2.12 GMO-PG決済モジュールに複数の脆弱性

EC-CUBE2.11系、2.12系のEC-CUBEペイメント、およびGMO-PG決済モジュール (PGマルチペイメントサービス)に複数の脆弱性 EC-CUBE
この記事は約2分で読めます。

EC-CUBE2.11系、2.12系のEC-CUBEペイメント、およびGMO-PG決済モジュールに複数の脆弱性

2018年8月9日、JVN(Japan Vulnerability Notes)より、EC-CUBE2.11系、2.12系のEC-CUBEペイメント、およびGMO-PG決済モジュール (PGマルチペイメントサービス)に複数の脆弱性があると報告がありました。

JVN#06372244 EC-CUBEペイメント決済モジュールおよび EC-CUBE用 GMO-PG決済モジュール (PGマルチペイメントサービス) における複数の脆弱性

GMOペイメントゲートウェイ株式会社が提供する「EC-CUBEペイメント決済モジュール」および「EC-CUBE用GMO-PG決済モジュール(PGマルチペイメントサービス)」に、次の脆弱性が存在するとのことです。

  • 管理画面におけるクロスサイトスクリプティングの脆弱性 (CWE-79) – CVE-2018-0657
  • 管理画面における入力値検証不備の脆弱性 (CWE-20) – CVE-2018-0658

脆弱性による想定される影響

決済モジュールの脆弱性により、次のような影響を受ける可能性があります。

  • EC-CUBE 管理画面にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される – CVE-2018-0657
  • EC-CUBE 管理画面にログインしているユーザにより、サーバ上で任意の PHP コードを実行される – CVE-2018-06588

また、2つの脆弱性を組み合わせると、EC-CUBE管理画面にログインしているユーザが細工されたURLにアクセスすることで、サーバ上で任意の PHP コードを実行される可能性があります。

その為、EC-CUBEペイメントもしくはPGマルチペイメントサービスをご利用のECサイトは、直ちにモジュールを最新版にアップデートしてください。
EC-CUBEオーナーズストア

GMO-PGでは過去に個人情報漏洩が発生していますので、今後もセキュリティに関しては十分に配慮して頂きたいです。

GMOペイメントゲートウェイ 不正アクセスによる個人情報漏洩事故
「東京都税クレジットカードお支払いサイト」と「団体信用生命保険特約料クレジットカード支払いサイト」で不正アクセスが発生2017年3月10日、GMOペイメントゲートウェイ株式会社(以下GMO-PG)が、運営受託する東京都の「東京都税クレジッ...
タイトルとURLをコピーしました