EC-CUBE用「ルミーズ決済モジュール」に複数の脆弱性(JVN) | ScanNetSecurity
2019.12.15(日)

EC-CUBE用「ルミーズ決済モジュール」に複数の脆弱性(JVN)

IPAおよびJPCERT/CCは、ルミーズが提供するEC-CUBE用モジュール「ルミーズ決済モジュール」に複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
JVN(Japan Vulnerability Notes)jvn.jp
JVN(Japan Vulnerability Notes)jvn.jp 全 1 枚 拡大写真
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は10月7日、ルミーズ株式会社が提供するEC-CUBE用モジュール「ルミーズ決済モジュール(2.11系・2.12系・2.13系)」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3による最大Base Scoreは6.1。三井物産セキュアディレクション株式会社の佐藤元氏が報告を行った。

EC-CUBE用モジュール「ルミーズ決済モジュール(2.11系・2.12系・2.13系) version 3.0.12 およびそれ以前」には、クロスサイトスクリプティング(CVE-2019-6016)および情報漏えい(CVE-2019-6017)の脆弱性が存在する。これらの脆弱性が悪用されると、当該製品にアクセス可能なユーザのWebブラウザ上で、任意のスクリプトを実行される(CVE-2019-6016)、遠隔の第三者によって、当該製品に登録されている情報を取得される(CVE-2019-6017)可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 業務用PCが「Emotet」に感染、迷惑メールを送信(おめめどう)

    業務用PCが「Emotet」に感染、迷惑メールを送信(おめめどう)

  2. 「リクナビDMPフォロー」サービス利用企業へも指導(個人情報保護委員会)

    「リクナビDMPフォロー」サービス利用企業へも指導(個人情報保護委員会)

  3. 「象印でショッピング」へ不正アクセス、流出したアドレスにメール送信しカード情報を盗取(象印マホービン)

    「象印でショッピング」へ不正アクセス、流出したアドレスにメール送信しカード情報を盗取(象印マホービン)

  4. 「グラマシーニューヨークオンラインショップ」に不正アクセス、カード情報3,312件が流出(プレジィール)

    「グラマシーニューヨークオンラインショップ」に不正アクセス、カード情報3,312件が流出(プレジィール)

  5. 業務を受託している2病院から患者情報を紙資料で持ち出し(インテック)

    業務を受託している2病院から患者情報を紙資料で持ち出し(インテック)

  6. リース会社に返却したHDDを委託会社の社員が横領、オークションサイトに流出(神奈川県)

    リース会社に返却したHDDを委託会社の社員が横領、オークションサイトに流出(神奈川県)

  7. FAX誤送信、顧客の貯金残高等が流出(JA高知県)

    FAX誤送信、顧客の貯金残高等が流出(JA高知県)

  8. 業務用PCが「Emotet」に感染、不正メールの送信を確認(サンウェル)

    業務用PCが「Emotet」に感染、不正メールの送信を確認(サンウェル)

  9. マルウェア「Emotet」の感染被害が急増、対処法や対策など紹介(ラック)

    マルウェア「Emotet」の感染被害が急増、対処法や対策など紹介(ラック)

  10. ペネトレーションテストを明確に定義、事例も掲載したドキュメント公開(脆弱性診断士スキルマッププロジェクト)

    ペネトレーションテストを明確に定義、事例も掲載したドキュメント公開(脆弱性診断士スキルマッププロジェクト)

ランキングをもっと見る