セキュリティ

PGマルチペイメントサービス(プロトコルタイプ)をご利用中の方へ 〜脆弱性への対応方法〜

2017年4月26日以前に http://cs-cart.jp からダウンロードしたCS-Cart日本語版の4.3系において、 PGマルチペイメントサービス(プロトコルタイプ) を決済にご利用の際に、ログの保存に関するセキュリテイの問題があることが判明しました。 本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。 ------------------------- 脆弱性のあるCS-Cartのバージョン - CS-Cart日本語版 - スタンダード版 4.3系 - CS-Cart日本語版 - マーケットプレイス版 4.3系 - 上記バージョンにおいて決済方法にPGマルチペイメントサービス(プロトコルタイプ)をご利用中の方全て ※ 2017年4月26日より前にcs-cart.jpからダウンロードした4.3系のCS-Cartが対象となります。 ※ 2017年4月26日以降にcs-cart.jpからダウンロードしたCS-Cartは対策済みです。 ※ トークン決済化 (http:...

2017年12月28日に公表された脆弱性への対応方法

CS-Cart日本語版のバージョン4系(v2系、v3系は除く)において、脆弱性が判明しました。 脆弱性の詳細はセキュリティの観点から現時点では公開されておりませんが、この修正を必ず適用してください。 本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。 ------------------------- 脆弱性のあるCS-Cartのバージョン - CS-Cart日本語版 - スタンダード版 v4.3.10-jp-1 およびそれ以前のバージョン(v2系、v3系は除く) - CS-Cart日本語版 - マーケットプレイス版 v4.3.10-jp-1 およびそれ以前のバージョン(v2系、v3系は除く) ※ 2017年12月28日10時時点におけるCS-Cart v4系すべてのバージョンが対象となります ※ 2017年12月28日10時以降にcs-cart.jpからダウンロードしたCS-Cartは対策済みです。 ------------------------- サー...

クロネコwebコレクトをご利用中の方へ 〜脆弱性への対応方法〜

CS-Cart日本語版の全てのバージョン(v2系、v3系、4系)において、 決済にクロネコwebコレクトをご利用の際に ログの保存に関するセキュリテイの問題があることが判明しました。 本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。 ------------------------- 脆弱性のあるCS-Cartのバージョン - CS-Cart日本語版 - スタンダード版 全てのバージョン - CS-Cart日本語版 - マーケットプレイス版 全てのバージョン - 決済方法にクロネコwebコレクトをご利用中の方全て ※ 2017年12月6日10時時点におけるCS-Cart すべてのバージョンが対象となります ※ 2017年12月6日10時以降にcs-cart.jpからダウンロードしたCS-Cartは対策済みです。 ------------------------- 脆弱性の内容 CS-Cartの動作を記録するログに、カード番号や...

ソニーペイメント(旧スマートリンク)をご利用中の方へ 〜脆弱性への対応方法〜

CS-Cart日本語版の全てのバージョン(v2系、v3系、4系)において、決済に ソニーペイメントサービス株式会社(以下、ソニーペイメント)(旧スマートリンク)をご利用の際に ログの保存に関するセキュリテイの問題があることが判明しました。 本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。 ------------------------- 脆弱性のあるCS-Cartのバージョン - CS-Cart日本語版 - スタンダード版 全てのバージョン - CS-Cart日本語版 - マーケットプレイス版 全てのバージョン - 決済方法にソニーペイメント(旧スマートリンク)をご利用中の方全て ※ 2017年12月6日10時時点におけるCS-Cart すべてのバージョンが対象となります ※ 2017年12月6日10時以降にcs-cart.jpからダウンロードしたCS-Cartは対策済みです。 ------------------------- ...

2017年11月21日に公表された脆弱性への対応方法

CS-Cart日本語版のバージョン4系(v2系、v3系は除く)において、管理画面のURLが知られている状態で特定の手順を実施すると、第三者が管理画面にアクセスできる脆弱性が存在することが判明しました。 本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。 ------------------------- 脆弱性のあるCS-Cartのバージョン - CS-Cart日本語版 - スタンダード版 v4.3.10-jp-1 およびそれ以前のバージョン(v2系、v3系は除く) - CS-Cart日本語版 - マーケットプレイス版 v4.3.10-jp-1 およびそれ以前のバージョン(v2系、v3系は除く) ※ 2017年11月21日19時時点におけるCS-Cart v4系すべてのバージョンが対象となります ※ 2017年11月21日19時以降にcs-cart.jpからダウンロードしたCS-Cartは対策済みです。 サーバープランのお客様は対応済み CS-Cartサーバ...

【JVN#29602086】 2017年11月13日に公表されたXSS脆弱性への対応方法

CS-Cart日本語版のバージョン4系(v2系、v3系は除く)において、管理画面で任意のJavascriptを実行できるクロスサイトスクリプティングの脆弱性 が公表されました。 本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。 ------------------------- 脆弱性のあるCS-Cartのバージョン - CS-Cart日本語版 - スタンダード版 v4.3.10-jp-1 およびそれ以前のバージョン(v2系、v3系は除く) - CS-Cart日本語版 - マーケットプレイス版 v4.3.10-jp-1 およびそれ以前のバージョン(v2系、v3系は除く) ※ 2017年11月6日時点におけるCS-Cart v4系すべてのバージョンが対象となります ※ 2017年11月6日午前10時以降にCS-Cart.jp (http://cs-cart.jp)からダウンロードしたCS-Cartは対策済みのため対応不要です。 脆弱性の内容と攻撃が成功するための...

【JVN#25598952】 権限確認不備により他のユーザーの注文の返品申請を実施できる脆弱性について

CS-Cart日本語版のバージョン4.3.10-jp-1以前(2017年4月4日時点におけるすべてのバージョン)において、自分とは異なるユーザーの注文について返品申請を実行できる脆弱性が存在することが判明しました。 本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。 ------------------------- 脆弱性のあるCS-Cartのバージョン - CS-Cart日本語版 - スタンダード版 v4.3.10-jp-1 およびそれ以前のバージョン - CS-Cart日本語版 - マーケットプレイス版 v4.3.10-jp-1 およびそれ以前のバージョン ※ 2017年4月4日時点におけるすべてのバージョンが対象となります。 ※ 2017年4月4日16時以降にCS-Cart.jp (http://cs-cart.jp)からダウンロードしたCS-Cartは対策済みのため対応不要です。 ------------------------- 脆弱...

【JVN#87770873】 2017年4月6日に公表されたCSRF脆弱性への対応方法

2017年4月6日、特定の条件下でユーザーの意図しない注文が実行されるクロスサイトスクリプティングの脆弱性 () が公表されました。 ------------------------- 対象バージョン - CS-Cartスタンダード版 v4.3系 - CS-Cartマーケットプレイス版 v4.3系 ※ 2017年3月31日16時以降にCS-Cart.jp (http://cs-cart.jp)からダウンロードしたCS-Cartは対策済みのため対応不要です。 ※ CS-Cartのバージョン確認方法は こちら (http://tips.cs-cart.jp/check-version) ------------------------- 脆弱性の内容と攻撃が成功するための条件 以下の条件を「すべて」充たした場合にユーザーの意図しない注文を実行される可能性があります。 - CS-Cartにログインした状態で、同じWebブラウザで攻撃用スクリプトが実装されたWebサイトにアクセスする - 攻撃者...

【JVN#14396697】 権限確認不備により他のユーザーの注文確認書を閲覧できる脆弱性について

CS-Cartバージョン4.3.10以前(2017年3月31日時点におけるすべてのバージョン)に、権限確認の不備が存在することが判明しました。 本脆弱性を悪用された場合、悪意ある第三者の攻撃により、他のユーザーの注文確認書を閲覧される危険性があります。 本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。 ------------------------- 脆弱性の影響を受けるCS-Cartのバージョン - CS-Cartスタンダード版 v4.3.10 およびそれ以前のバージョン - CS-Cartマーケットプレイス版 v4.3.10 およびそれ以前のバージョン ※ 2017年3月31日時点におけるすべてのバージョンが対象となります。 ※ 2017年3月31日午前6時以降にCS-Cart.jp (http://cs-cart.jp)からダウンロードしたCS-Cartは対策済みのため対応不要です。 ※ CS-Cartのバージョン確認方法は こちら (http://ti...

【2016年12月30日更新】 【CVE-2016-10033】 PHPMailerのリモートコード実行脆弱性に関する対応について

CS-Cart日本語版のバージョン4.3.6-jp-1以前(2016年12月30日時点におけるすべてのバージョン)に同梱されているメール送信ライブラリ「PHPMailer」に、任意のコードを実行される恐れのある脆弱性(CVE-2016-10033 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10033))が存在することが判明しました。 本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。 ------------------------- 脆弱性のあるPHPMailerが含まれるCS-Cartのバージョン - CS-Cart日本語版 - スタンダード版 v4.3.6-jp-1以前のバージョン - CS-Cart日本語版 - マーケットプレイス版 v4.3.6-jp-1以前のバージョン ※ 2016年12月30日時点におけるすべてのバージョンが対象となります。 ※ CS-Cartサーバープラン (htt...

【CVE-2016-4862】 TwigmoアドオンにおけるPHPオブジェクトインジェクションの脆弱性について

CS-Cartバージョン4.3.9以前(2016年9月14日時点におけるすべてのバージョン)に同梱されているTwigmoアドオンに、PHPオブジェクトインジェクションの脆弱性が存在することが判明しました。 本脆弱性を悪用された場合、悪意ある第三者の攻撃により、CS-Cartが動作しているサーバー上のファイルが操作される危険性があります。 本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。 ------------------------- 脆弱性の影響を受けるCS-Cartのバージョン - CS-Cartスタンダード版 v4.3.9以前のバージョン - CS-Cartマーケットプレイス版 v4.3.9以前のバージョン ※ 2016年9月14日時点におけるすべてのバージョンが対象となります。 ※ 2016年9月14日13時以降にCS-Cart.jp (http://cs-cart.jp)からダウンロードしたCS-Cartは対策済みのため対応不要です。 ※ CS...

【2016/07/15 07:50更新】 2016年7月14日に判明した脆弱性への対応方法

2016年7月14日、 CS-Cartスタンダード版、マーケットプレイス版 v4.0.1以上のすべてのバージョン において、 管理画面用ファイル名が判明している場合に第三者に管理画面にアクセスされてしまう 脆弱性が判明しました。 緊急措置として以下の対策を実施してください。 [2016/07/15 07:50 更新] CS-Cartマーケットプレイス版をお使いの場合に必要な対策「STEP04. fn.users.php の修正」を追加しました。 ※ CS-Cartサーバープラン (http://www.cs-cart.jp/hosting-overview.html) をご利用のお客様については、すでに対策済みのため作業は不要です。 (サーバー上にテスト環境を構築している場合は、テスト環境にも app/controllers/common/auth.pre.php が存在するか確認してください。存在しない場合は以下の対策を実施する必要があります。) ※ 2016年7月15日以降に cs-cart.jp (http://www.cs-cart.jp) より...

OricoPayment Plus(SimpleWeb)のセキュリティ強化への対応方法

**対象バージョン** CS-Cartスタンダード版、マーケットプレイス版 4.3.4-jp-1以下で、支払方法にOricoPayment Plus(SimpleWeb)を利用している場合 ------------------------- ** ** **概要** OricoPayment Plusのセキュリティ強化(SHA-256証明書対応および、SSL3.0/TLS1.0の廃止)に伴い、CS-Cart内の一部ファイルの修正が必要となります。 ------------------------- ** ** **修正方法** サーバー上にある _app/addons/oricopp_sw/config.php_ 内の _ define('OPPSW_URL_POST', 'https://3g.veritrans.co.jp/web1/commodityRegist.action');_ を _ define('OPPSW_URL_POST', 'https://pay.veritrans.co.jp/web1/...

【2015/04/21 更新】 2015年3月27日に公表されたCSRF脆弱性への対応方法

2015年3月27日、特定の条件下でユーザーのパスワードを変更されるクロスサイトスクリプティングの脆弱性 (http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001934.html) が判明しました。 [2015/04/21 更新] パッチファイルおよびその適用手順を掲載しました。 ------------------------- 対象バージョン - CS-Cartスタンダード版 v4.2.4-jp-1 - CS-Cartマーケットプレイス版 v4.2.4-jp-1 ------------------------- 脆弱性の内容と攻撃が成功するための条件 以下の条件を「すべて」充たした場合にユーザーのパスワードを変更される可能性があります。 - CS-Cartにログインした状態で、攻撃用スクリプトが実装されたWebサイトにアクセスする - 攻撃者がユーザーのCS-Cartログイン用メールアドレスを事前に入手している 危険度は低い...

【2014/05/30 06:00 更新】 2014年5月26日に判明した脆弱性への対応方法

2014年5月26日、CS-Cart日本語版のすべてのバージョンにおいて第三者による悪意のあるPHPスクリプトの実行を可能とする脆弱性が判明しました。 [2014/05/30 06:00 更新] 「STEP04. 管理画面URLの変更」を追加しました。 [2014/05/27 02:00 更新] CS-Cart開発元であるcs-cart.comより正式な対応方法が発表されました。 [2014/05/26 23:15 更新] 削除するファイル・フォルダが追加されました。 緊急措置として以下の対策を実施してください。 ※ CS-Cartサーバープラン (http://www.cs-cart.jp/hosting-overview.html) をご利用のお客様については、すでに対策済みのため作業は不要です。 ------------------------- ** ** **STEP01. CS-Cartのバージョン確認** 以下のURLを参照のうえ、ご利用中のCS-Cartのバージョンを確認してください。 http://tips.cs-cart...

2014年2月12日に公表されたTwigmoサーバー攻撃に伴うセキュリティ対策

2014年2月12日、Twigmoサービスを運営しているTwigmo.comよりユーザー向けに以下の内容のメール(英語)が送信されました。 ------------------------- (1) Twigmo.comが管理しているサーバーが第三者の攻撃を受け、 * _Twigmoを利用しているユーザーのCS-Cartの管理画面URL_ * _CS-CartからTwigmoに接続する際のEメールアドレス_ * _CS-CartからTwigmoに接続する際のパスワード(不可逆暗号化済み)_ が漏洩した可能性がある。 ※ お使いのCS-Cart管理画面へのアクセス情報の漏洩ではありません。 (2) パスワードは不可逆暗号化済みのため漏洩しても直ちに悪用される可能性はないが、念のため全ユーザーのパスワードをリセットした。 そのため、TwigmoユーザーはTwigmoコントロールパネルへのログインパスワードをリセットする必要がある。 (3) セキュリティ強化のため、 * _CS-Cart管理画面へのログインパスワード変更_ ...

2014年1月23日に公表されたクロスサイトスクリプティング脆弱性への対策

2014年1月23日、CS-Cart日本語版のすべてのバージョンにおけるクロスサイトスクリプティングの脆弱性 (http://jvn.jp/vu/JVNVU97395039/) が判明しました。 2014年1月24日現在、修正パッチは提供されていませんが以下の方法でこの脆弱性を利用した攻撃を回避することができます。 【2014年2月6日更新】 セキュリティパッチをリリースしました。 CS-Cart Version2、3、4向け修正パッチをリリースしました。 以下よりパッチファイルをダウンロードし、同梱の「必ずお読み下さい.txt」に記載された手順に従ってパッチを適用してください。 - CS-Cart Version4系向けセキュリティパッチ (http://cs-cart.jp/files/xss_patch_v4_20140206.zip) - CS-Cart Version3系向けセキュリティパッチ (http://cs-cart.jp/files/xss_patch_v3_20140206.zip) - CS-Cart Versi...