2017年4月26日以前に http://cs-cart.jp からダウンロードしたCS-Cart日本語版の4.3系において、
PGマルチペイメントサービス(プロトコルタイプ)
を決済にご利用の際に、ログの保存に関するセキュリテイの問題があることが判明しました。
本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。
脆弱性のあるCS-Cartのバージョン
- CS-Cart日本語版 - スタンダード版 4.3系
- CS-Cart日本語版 - マーケットプレイス版 4.3系
- 上記バージョンにおいて決済方法にPGマルチペイメントサービス(プロトコルタイプ)をご利用中の方全て
※ 2017年4月26日より前にcs-cart.jpからダウンロードした4.3系のCS-Cartが対象となります。
※ 2017年4月26日以降にcs-cart.jpからダウンロードしたCS-Cartは対策済みです。
※ トークン決済化のパッチをインストールしている場合は対策済みです。
脆弱性の内容
CS-Cartの動作を記録するログに、カード番号や有効期限が保存される問題がございました。
対策方法
STEP01. パッチファイルの適用
以下よりパッチファイルをダウンロードし、解凍のうえサーバーにアップロードしてください。
----------------------------------------------------------------
- CS-Cart Version 4.3.系向けセキュリティパッチ
- ※ サーバー上にインストールしたCS-Cartの以下のファイルを作成する形になります。
jp_extras/security_jp20180530/index.php (新規ファイル)
----------------------------------------------------------------
※ お使いのCS-Cartのバージョンの確認方法は、 こちら をご参照ください。
※ CS-Cart Version 4.3系 (4.3.4, 4.3.6, 4.3.10) 以外のバージョンをご利用の場合は、 こちら よりお問い合わせ願います。
STEP02. <ショップのURL>jp_extras/security_jp20180530/index.phpへアクセス
ブラウザで
<ショップのURL>jp_extras/security_jp20180530/index.phpへアクセスしてください。
※SEOアドオンを使用している場合は index.php をはずしてください。
「OK」と表示されれば完了です。
安全のため、jp_extras/security_jp20180530/フォルダを削除してください。
STEP03. トークン決済化の対応
トークン決済への対応が完了していない場合は、こちらを参照の上トークン決済化を実施してください。
連絡先
本脆弱性に関するお問い合わせは、以下のURLよりお寄せください。
https://cscart.liveagent.jp/submit_ticket