ショッピングカート「ショッピングバスケットプロ」に脆弱性

CGI RESCUEのショッピングカートソフトにディレクトリトラバーサルの脆弱性が見つかった。

[ITmedia]

　情報処理推進機構（IPA）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は8月31日、CGI RESCUEの提供するシェアウェアのショッピングカートソフト「ショッピングバスケットプロ」に脆弱性が発見されたことを明らかにした。

　同ソフトで見つかったのは、想定外のファイルやディレクトリを表示してしまうディレクトリトラバーサルの脆弱性。ショッピングバスケットプロが導入されているサーバが、リモートの攻撃者から細工された入力値を受け取ると、サーバ内のファイル名、ディレクトリ名の一覧を取得され、内部の情報が漏れる恐れがある。

　この問題の影響を受けるのは、ショッピングバスケットプロ v7.51とそれ以前のバージョンのソフト。CGI RESCUEは、脆弱性を修正したv7.52へのアップグレードを呼びかけている。