IPAが、ECサイト構築に利用する「CS-Cart」日本語版に発見された脆弱(ぜいじゃく)性を公表。悪用されると個人情報を不正に取得されたり、意図しない商品を購入させられたりする可能性があるという。最新バージョンに更新することで修正できる。
IPA(独立行政法人情報処理推進機構)セキュリティセンターとJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が4月6日、オンラインショップなどのECサイトを構築できる 「CS-Cart」日本語版に、アクセス制限不備の脆弱(ぜいじゃく)性およびクロスサイトリクエストフォージェリ(CSRF)の脆弱性があると公表した。
アクセス制限不備の脆弱性(JVN#14396697)を突かれると、遠隔の第三者によって、CS-Cartで作成されたWebサイトに登録されている、ユーザーの住所や氏名を含む個人情報を取得される可能性がある。
クロスサイトリクエストフォージェリの脆弱性(JVN#87770873)は、悪用されると、CS-Cartで作成されたWebサイトにログインした状態のユーザーが、細工されたページにアクセスし、意図しない商品を購入させられる恐れがある。
これらの影響を受けるのは、CS-Cart日本語版スタンダード版 v4.3.10 およびそれ以前(v2系、v3系は除く)、CS-Cart日本語版マーケットプレイス版 v4.3.10 およびそれ以前(v2系、v3系は除く)。最新版にアップデートすることで脆弱性は修正される。CS-Cartサーバープランを利用しているユーザーの場合、すでに対策済みのため作業は不要だ。
Copyright © ITmedia, Inc. All Rights Reserved.