「EC-CUBE用の決済モジュール」に複数の脆弱性（JVN）

IPAおよびJPCERT/CCは、GMOペイメントゲートウェイが提供する、EC-CUBEの追加モジュール「EC-CUBEペイメント決済モジュール」および、「EC-CUBE用 GMO-PG決済モジュール（PGマルチペイメントサービス）」に複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

39 views

2018.8.10 Fri 8:00

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は8月9日、GMOペイメントゲートウェイ株式会社が提供する、EC-CUBEの追加モジュール「EC-CUBEペイメント決済モジュール」および、「EC-CUBE用 GMO-PG決済モジュール（PGマルチペイメントサービス）」に複数の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3によるBase Scoreは6.1。三井物産セキュアディレクション株式会社の佐藤元氏が報告を行った。影響を受けるシステムは次の通り。

・EC-CUBEペイメント決済モジュール（2.12系）バージョン 3.5.23 およびそれ以前
・EC-CUBEペイメント決済モジュール（2.11系）バージョン 2.3.17 およびそれ以前
・GMO-PG決済モジュール（PGマルチペイメントサービス)（2.12系）バージョン 3.5.23 およびそれ以前
・GMO-PG決済モジュール（PGマルチペイメントサービス)（2.11系）バージョン 2.3.17 およびそれ以前

これらのバージョンには、管理画面におけるクロスサイトスクリプティングの脆弱性（CVE-2018-0657）および、管理画面における入力値検証不備の脆弱性（CVE-2018-0658）が存在する。

これらの脆弱性が悪用されると、EC-CUBE管理画面にログインしているユーザのWebブラウザ上で、任意のスクリプトを実行される（CVE-2018-0657）、あるいはEC-CUBE管理画面にログインしているユーザにより、サーバ上で任意のPHPコードを実行される（CVE-2018-0658）可能性がある。JVNでは、開発者が提供する情報をもとに対応するパッチを適用するよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》