2015年3月27日、特定の条件下でユーザーのパスワードを変更されるクロスサイトスクリプティングの脆弱性 が判明しました。
[2015/04/21 更新] パッチファイルおよびその適用手順を掲載しました。
対象バージョン
- CS-Cartスタンダード版 v4.2.4-jp-1
- CS-Cartマーケットプレイス版 v4.2.4-jp-1
脆弱性の内容と攻撃が成功するための条件
以下の条件を「すべて」充たした場合にユーザーのパスワードを変更される可能性があります。
- CS-Cartにログインした状態で、攻撃用スクリプトが実装されたWebサイトにアクセスする
- 攻撃者がユーザーのCS-Cartログイン用メールアドレスを事前に入手している
危険度は低いが念のため対策を
前述のとおり、本脆弱性に対する攻撃を成功させるためには複数の条件を充たす必要があり、実際の被害を受ける可能性は極めて低いものと認識しています。
ただし、念のため以下の手順で対策を実施することをお勧めいたします。
STEP01. config.local.php の編集
サーバー上の
config.local.php
の87行目付近に記述されている
'anti_csrf' => false,
を
'anti_csrf' => true,
に書き換えてください。
STEP02. パッチファイルの適用
こちらよりパッチファイルをダウンロードし、解凍のうえサーバーにアップロードしてください。
※)上記はv4.2.4-jp-1専用のパッチファイルとなります。
v4.2.4-jp-1以外のバージョンをご利用の場合は日本語版サポートセンターより、ご利用いただいております本体のエディション(通常版、マーケットプレイス版)、およびバージョンをご連絡ください。
※ サーバー上にインストールしたCS-Cartの
app/functions/fn.common.php
app/functions/fn.control.php
app/functions/fn.init.php
を上書きする形となります。