「EC-CUBE」に複数のXSSの脆弱性、発見で何が起こるのか
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」3月6日の放送内容を一部抜粋しご紹介します
今回の解説ニュース
EC-CUBEにクロスサイトスクリプティングの脆弱性が発見されたということです。該当するバージョンをお使いの方は、修正パッチの適用を検討しましょう。クロスサイトスクリプティングによって発生する影響や、その対策について説明します。
今回の脆弱性は、EC-CUBEにクロスサイトスクリプティングの脆弱性が複数発見されました。脆弱性の影響を受けるバージョンは、EC-CUBE 2系~4系が挙げられています。脆弱性の深刻度を表すCVSS v3の基本値はいずれも5.4で、上から3番目に高い「警告」とされています。割り当てられたCVE番号は、CVE-2023-22438、CVE-2023-25077、CVE-2023-22838の3つです。脆弱性の詳細はCVE番号で検索して確認してください。
これらの脆弱性が悪用されると、当該製品の管理画面やサイトにアクセスしたユーザのWebブラウザ上で、任意のスクリプトを実行されるといった影響を受ける可能性があるということです。JVNでは、開発者が提供する情報をもとに最新版の「EC-CUBE 4.2.1」にアップデートするよう呼びかけています。また開発者は、アップデートを適用できないユーザに向けて修正パッチを提供しています。
商用で利用されるEC-CUBE、XSSが見つかる事で何が起こる?
クロスサイトスクリプティングの脆弱性が悪用されると、アクセスしたユーザのWebブラウザ上で、任意のスクリプトが実行されます。具体的に何が発生するか、過去の事例も交えながら説明します。
まず、攻撃者によって、クロスサイトスクリプティングの脆弱性があるEC-CUBEを使ったWebサイトに対して、攻撃コードが埋め込まれます。今回、発見された脆弱性の場合、コンテンツ管理、認証キー設定、商品一覧および商品詳細に攻撃コードを埋め込むことができるということです。
そして、攻撃コードが埋め込まれたWebサイトにアクセスしたユーザのWebブラウザ上で、任意のスクリプトが実行されることになります。アクセスしたユーザがWebサイトで買い物をするユーザであれば、そのユーザが乗っ取られてしまう可能性があります。
もし、アクセスしたユーザがWebサイトの管理者であれば、その被害はさらに甚大となります。過去に別の脆弱性で、管理者のユーザが乗っ取られることにより、Webサイトにバックドアが仕掛けられ、クレジットカード情報が窃取される被害が発生したことが確認されています。
その他のトピック