CS-Cart日本語版マーケットプレイス版のバージョンv4.7.2-jp-1において、ショップ商品詳細画面で任意のJavascriptを実行できるクロスサイトスクリプティング脆弱性が判明しました。
本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。
脆弱性のあるCS-Cartのバージョン
- CS-Cart日本語版 - マーケットプレイス版 v4.7.2-jp-1
※ 2018年7月25日10時時点におけるCS-Cart マーケットプレイス版 v4.7.2-jp-1 が対象となります。
※ 2018年7月25日10時以降にcs-cart.jpからダウンロードしたCS-Cart マーケットプレイス版 v4.7.2-jp-1 は対策済みです。
サーバープランのお客様は対応済み
CS-Cartサーバープランをご利用のお客様については、すでにセキュリティパッチを適用済みのため、下記の作業は不要です。
【注意】サーバー上にテスト環境または複数のCS-Cartをインストールしている場合は、メインのサイト以外は対策が施されていません。お手数ですがご自身にて対策を実施願います。
脆弱性の内容と攻撃が成功するための条件
以下の条件を「すべて」充たした場合に攻撃者によりCS-Cartショップの商品詳細画面で任意のJavascriptを実行される可能性があります。
- CS-Cartマーケットプレイス版 のバージョン4.7.2-jp-1 を利用している
- 攻撃者が管理画面へのログイン情報を入手している
危険度は低いが念のため対策を
前述のとおり、本脆弱性に対する攻撃を成功させるためには攻撃者が管理画面のアクセス情報を入手している必要があり、実際の被害を受ける可能性は低いものと認識しています。
脆弱性修正パッチの適用方法
以下のパッチファイルをダウンロードし、解凍のうえサーバーにアップロードしてください。
※ サーバー上にインストールしたCS-Cartの以下のファイルを上書きする形になります。
app/Tygh/Tools/SecurityHelper.php
※ お使いのCS-Cartのバージョンの確認方法は、 こちら をご参照ください。
現時点での被害報告はありません
本脆弱性はCS-Cart日本語サポートセンターへのお問い合わせにより判明したものです。
2018年7月25日10時時点では、本脆弱性を攻撃されたことによる被害報告はありません。
連絡先
本脆弱性に関するお問い合わせは、以下のURLよりお寄せください。
https://cscart.liveagent.jp/submit_ticket