ニュース
ECサイト構築ソフト「CS-Cart」日本語版に複数の脆弱性 個人情報を不正に取得される恐れ
IPAが、ECサイト構築に利用する「CS-Cart」日本語版に発見された脆弱(ぜいじゃく)性を公表。悪用されると個人情報を不正に取得されたり、意図しない商品を購入させられたりする可能性があるという。最新バージョンに更新することで修正できる。
IPA(独立行政法人情報処理推進機構)セキュリティセンターとJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が4月6日、オンラインショップなどのECサイトを構築できる 「CS-Cart」日本語版に、アクセス制限不備の脆弱(ぜいじゃく)性およびクロスサイトリクエストフォージェリ(CSRF)の脆弱性があると公表した。
アクセス制限不備の脆弱性(JVN#14396697)を突かれると、遠隔の第三者によって、CS-Cartで作成されたWebサイトに登録されている、ユーザーの住所や氏名を含む個人情報を取得される可能性がある。
クロスサイトリクエストフォージェリの脆弱性(JVN#87770873)は、悪用されると、CS-Cartで作成されたWebサイトにログインした状態のユーザーが、細工されたページにアクセスし、意図しない商品を購入させられる恐れがある。
これらの影響を受けるのは、CS-Cart日本語版スタンダード版 v4.3.10 およびそれ以前(v2系、v3系は除く)、CS-Cart日本語版マーケットプレイス版 v4.3.10 およびそれ以前(v2系、v3系は除く)。最新版にアップデートすることで脆弱性は修正される。CS-Cartサーバープランを利用しているユーザーの場合、すでに対策済みのため作業は不要だ。
関連記事
- 仮想化ソフト「Xen」にPVゲスト脱出の脆弱性 仮想環境を破られる恐れ
悪用されればPVゲストが全てのシステムメモリにアクセスできてしまう恐れがあり、権限を昇格されたり、ホストのクラッシュや情報流出を引き起こす可能性がある。 - 「ビジネスメール詐欺」が急増中 IPAが注意喚起
IPA(独立行政法人情報処理推進機構)が、「ビジネスメール詐欺」(BEC)について注意喚起を行った。具体的な手口の事例解説とともに、対策を提示している。 - ネットバンキングを狙う「DreamBot」が猛威 今すべき対策は
インターネットバンキングを狙う「DreamBot」が猛威を振るっています。私たちのお金を狙う、このマルウェアの餌食にならないためにできることとは?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.