ECサイト構築ソフト「CS-Cart」日本語版に複数の脆弱性 個人情報を不正に取得される恐れ

IPAが、ECサイト構築に利用する「CS-Cart」日本語版に発見された脆弱(ぜいじゃく)性を公表。悪用されると個人情報を不正に取得されたり、意図しない商品を購入させられたりする可能性があるという。最新バージョンに更新することで修正できる。

» 2017年04月06日 20時30分 公開
[園部修ITmedia]

 IPA(独立行政法人情報処理推進機構)セキュリティセンターとJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が4月6日、オンラインショップなどのECサイトを構築できる 「CS-Cart」日本語版に、アクセス制限不備の脆弱(ぜいじゃく)性およびクロスサイトリクエストフォージェリ(CSRF)の脆弱性があると公表した。

CS-Cart日本語版 CS-Cart日本語版のWebサイト

 アクセス制限不備の脆弱性(JVN#14396697)を突かれると、遠隔の第三者によって、CS-Cartで作成されたWebサイトに登録されている、ユーザーの住所や氏名を含む個人情報を取得される可能性がある。

 クロスサイトリクエストフォージェリの脆弱性(JVN#87770873)は、悪用されると、CS-Cartで作成されたWebサイトにログインした状態のユーザーが、細工されたページにアクセスし、意図しない商品を購入させられる恐れがある。

 これらの影響を受けるのは、CS-Cart日本語版スタンダード版 v4.3.10 およびそれ以前(v2系、v3系は除く)、CS-Cart日本語版マーケットプレイス版 v4.3.10 およびそれ以前(v2系、v3系は除く)。最新版にアップデートすることで脆弱性は修正される。CS-Cartサーバープランを利用しているユーザーの場合、すでに対策済みのため作業は不要だ。

脆弱性に関する情報 脆弱性に関する情報は公式のTipsブログ「CS-Cart Tips」にも掲載されている

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ