ショッピングカートツール「WebCart」にXSSの脆弱性

フリーのショッピングカートソフト「WebCart」にクロスサイトスクリプティング（XSS）の脆弱性が見つかった。

[ITmedia]

　情報処理推進機構（IPA）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は8月10日、CGI'sの提供するショッピングカート用ソフトウェア「WebCart」にクロスサイトスクリプティング（XSS）の脆弱性が見つかったとして、JVN（Japan Vulnerability Notes）に情報を公開した。CGI'sは修正ソフトを提供している。

　WebCartはECサイトのショッピングカートで利用されるフリーのPHPスクリプト。このWebCartの管理画面のWebページ出力時の処理に問題があり、任意のスクリプトが埋め込まれてしまうXSSの脆弱性が存在する。WebCartが利用されているサーバで悪意のあるユーザーによってスクリプトを含む注文を受けると、管理者が注文を基にページを作成する際に、管理者のWebブラウザ上でページに埋め込まれたスクリプトが意図しない形で実行される恐れがあるという。

　この問題の影響を受けるのは、WebCart Ver2.20〜2.25の各バージョン。対策は、CGI'sの公開する最新バージョン2.30をファイルの上書きでアップデートすること。