JavaScript を有効にしてご利用下さい.
まずは相談する
ご利用中の方のお問い合わせはこちら
本脆弱性告知ページの更新情報やその他脆弱性対応への最新情報は、EC-CUBE公式Twitterより発信いたします。 最新情報を取得されたい場合はTwitter公式アカウントのフォローをお願いいたします。
EC-CUBE4系ご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されています。 本脆弱性は、既に複数サイトでの攻撃を確認しており、緊急度が非常に高い脆弱性でございます。該当バージョンでサイトを運営されている場合は、緊急対応のためのHotfixパッチを公開しておりますので、内容をご確認のうえ早急にご対応をお願いいたします。 なおクラウド版 ec-cube.co ではHotfixパッチを適用済ですので安心してご利用ください。
危険度:高 該当バージョン:EC-CUBE 4.0.0〜4.0.5 脆弱性の詳細はこちら https://www.ec-cube.net/info/weakness/20210507/ JVN(2021/5/10 公開)からの公表内容はこちら JVN#97554111: EC-CUBE におけるクロスサイトスクリプティングの脆弱性
緊急対応のためのホットフィックスパッチを以下のページにて公開しております。 パッチファイルの適用または、差分の適用をしていただき、キャッシュ削除にて修正作業は完了いたします。(キャッシュ削除を忘れずにお願いいたします。) 本脆弱性における攻撃は既に複数サイトで確認されています。早急に修正対応をお願いいたします。 https://www.ec-cube.net/info/weakness/20210507/
「XSS脆弱性修正プラグイン」をリリースいたしました。(2021/5/11 17:00) ファイルの上書きやソースコードの修正が難しい場合は本プラグインをご利用ください。インストール・実行後、Hotfixパッチの適用及びキャッシュの削除が自動で実行されますので、ご活用くださいませ。 ※既にHotfixパッチを適用されている場合は、プラグインをご利用いただく必要はございません。 https://www.ec-cube.net/products/detail.php?product_id=2253
※クラウド版ec-cube.coでは2021/5/7時点でHotfixパッチの適用は完了しております。
※Hotfixパッチを適用した最新版「 EC-CUBE 4.0.5-p1」 が2021/5/10にリリースされました。これから新たにEC-CUBEをダウンロードされる場合はこちらをご利用ください。 詳しくは EC-CUBE 4.0.5-p1 リリースのお知らせ をご確認ください。
HTMLメールテンプレートを削除し、テキストメールテンプレートが使用されるようなカスタマイズを実施した場合、本脆弱性と同様のXSSが成立することが確認されました。 上記カスタマイズを実施されている場合は、以下を参照し、修正をお願いいたします。 ※カスタマイズにより、テキストのみのメールテンプレートを追加した場合でも同様のXSSが成立する可能性があります。あわせてご確認ください。 https://www.ec-cube.net/info/weakness/20210507/#delete_htmlmail
【注意】不審なデータを管理画面から参照すると攻撃が成立する可能性があります。 不審なデータを捜索する場合は、管理画面から確認せず、データベースや受注メールから調査を行うようお願いいたします。 パッチ適用修正実施後、以下リンク先を参照して既に攻撃されていないかの確認をお願いいたします。 https://www.ec-cube.net/info/weakness/20210507/#check プラグインを使用した確認 「EC-CUBEセキュリティチェックプラグイン(4.0系)」にて不正データの有無を確認する機能を追加いたしました。(2021/5/13 17:00) 本脆弱性での攻撃された形跡確認にご利用ください。 https://www.ec-cube.net/products/detail.php?product_id=2040 既に攻撃された形跡が確認された場合は、早急にサイトを停止しシステム担当者やセキュリティの専門企業にご相談くださいませ。また、クレジットカード決済を扱われている場合は、クレジットカード会社や決済代行会社にもご報告をお願いします。 攻撃の形跡が確認された場合でもサイト改ざんや情報漏洩等の実被害が発生しているとは限りませんが、今後の被害を発生させないためにもご理解をお願いいたします。 セキュリティ専門企業紹介 ・SHIFT SECURITY:https://www.shiftsecurity.jp/eccube/ ・EGセキュアソリューションズ:https://www.eg-secure.co.jp/
クレジットカード情報漏洩が確定した場合、クレジットカード決済の再開には、PFIを所有する機関によるフォレンジック調査が必要となります。 フォレンジック調査会社紹介 ・株式会社ブロードバンドセキュリティ:https://www.bbsec.co.jp/service/incident/creditcard-forengic.html ・NRIセキュアテクノロジーズ株式会社:https://www.nri-secure.co.jp/service/consulting/pfi
本脆弱性に関しましては、本日以降も影響調査・対応を引き続き行ってまいります。進捗があり次第、随時告知いたします。
新規構築・リニューアル・取引先向けのWeb受発注システム(BtoB)や事業の拡大など、今抱えている課題を解決する最適な業者探しを、アドバイザーがお手伝いします。
本脆弱性告知ページの更新情報やその他脆弱性対応への最新情報は、EC-CUBE公式Twitterより発信いたします。
最新情報を取得されたい場合はTwitter公式アカウントのフォローをお願いいたします。
EC-CUBE4系ご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されています。
本脆弱性は、既に複数サイトでの攻撃を確認しており、緊急度が非常に高い脆弱性でございます。該当バージョンでサイトを運営されている場合は、緊急対応のためのHotfixパッチを公開しておりますので、内容をご確認のうえ早急にご対応をお願いいたします。
なおクラウド版 ec-cube.co ではHotfixパッチを適用済ですので安心してご利用ください。
更新履歴
「4.クレジットカード情報漏洩が確定した場合について」項目を追加
本脆弱性に関するQ&Aを追加
本件の目次
1.クロスサイトスクリプティングの脆弱性
危険度:高
該当バージョン:EC-CUBE 4.0.0〜4.0.5
脆弱性の詳細はこちら
https://www.ec-cube.net/info/weakness/20210507/
JVN(2021/5/10 公開)からの公表内容はこちら
JVN#97554111: EC-CUBE におけるクロスサイトスクリプティングの脆弱性
2.修正方法について
(1)修正パッチの適用について
修正パッチ
緊急対応のためのホットフィックスパッチを以下のページにて公開しております。
パッチファイルの適用または、差分の適用をしていただき、キャッシュ削除にて修正作業は完了いたします。(キャッシュ削除を忘れずにお願いいたします。)
本脆弱性における攻撃は既に複数サイトで確認されています。早急に修正対応をお願いいたします。
https://www.ec-cube.net/info/weakness/20210507/
修正プラグイン
「XSS脆弱性修正プラグイン」をリリースいたしました。(2021/5/11 17:00)
ファイルの上書きやソースコードの修正が難しい場合は本プラグインをご利用ください。インストール・実行後、Hotfixパッチの適用及びキャッシュの削除が自動で実行されますので、ご活用くださいませ。
※既にHotfixパッチを適用されている場合は、プラグインをご利用いただく必要はございません。
https://www.ec-cube.net/products/detail.php?product_id=2253
クラウド版ec-cube.coの場合
※クラウド版ec-cube.coでは2021/5/7時点でHotfixパッチの適用は完了しております。
DL版について
※Hotfixパッチを適用した最新版「 EC-CUBE 4.0.5-p1」 が2021/5/10にリリースされました。これから新たにEC-CUBEをダウンロードされる場合はこちらをご利用ください。
詳しくは EC-CUBE 4.0.5-p1 リリースのお知らせ をご確認ください。
(2)HTMLメールテンプレートを削除するカスタマイズを実施している場合の注意喚起(2021/5/24 17:00)
HTMLメールテンプレートを削除し、テキストメールテンプレートが使用されるようなカスタマイズを実施した場合、本脆弱性と同様のXSSが成立することが確認されました。
上記カスタマイズを実施されている場合は、以下を参照し、修正をお願いいたします。
※カスタマイズにより、テキストのみのメールテンプレートを追加した場合でも同様のXSSが成立する可能性があります。あわせてご確認ください。
https://www.ec-cube.net/info/weakness/20210507/#delete_htmlmail
3.攻撃された可能性の確認方法ついて
【注意】不審なデータを管理画面から参照すると攻撃が成立する可能性があります。
不審なデータを捜索する場合は、管理画面から確認せず、データベースや受注メールから調査を行うようお願いいたします。
パッチ適用修正実施後、以下リンク先を参照して既に攻撃されていないかの確認をお願いいたします。
https://www.ec-cube.net/info/weakness/20210507/#check
プラグインを使用した確認
「EC-CUBEセキュリティチェックプラグイン(4.0系)」にて不正データの有無を確認する機能を追加いたしました。(2021/5/13 17:00)
本脆弱性での攻撃された形跡確認にご利用ください。
https://www.ec-cube.net/products/detail.php?product_id=2040
既に攻撃された形跡が確認された場合は、早急にサイトを停止しシステム担当者やセキュリティの専門企業にご相談くださいませ。また、クレジットカード決済を扱われている場合は、クレジットカード会社や決済代行会社にもご報告をお願いします。
攻撃の形跡が確認された場合でもサイト改ざんや情報漏洩等の実被害が発生しているとは限りませんが、今後の被害を発生させないためにもご理解をお願いいたします。
セキュリティ専門企業紹介
・SHIFT SECURITY:https://www.shiftsecurity.jp/eccube/
・EGセキュアソリューションズ:https://www.eg-secure.co.jp/
4.クレジットカード情報漏洩が確定した場合について
クレジットカード情報漏洩が確定した場合、クレジットカード決済の再開には、PFIを所有する機関によるフォレンジック調査が必要となります。
フォレンジック調査会社紹介
・株式会社ブロードバンドセキュリティ:https://www.bbsec.co.jp/service/incident/creditcard-forengic.html
・NRIセキュアテクノロジーズ株式会社:https://www.nri-secure.co.jp/service/consulting/pfi
5.本脆弱性に関する今後の対応について
本脆弱性に関しましては、本日以降も影響調査・対応を引き続き行ってまいります。進捗があり次第、随時告知いたします。
6.本脆弱性のQ&Aとその他お問い合わせに関して多くいただいておりますご質問を以下のQ&Aにまとめました。
その他、ご不明点等ございましたらお問合せフォームまでご連絡をお願いいたします。
お問合せフォーム:https://www.ec-cube.net/contact/
また、攻撃可能性の調査に関しましてはセキュリティ専門企業へもご相談ください。
EC-CUBE制作パートナー紹介
https://www.ec-cube.net/integrate/partner/
https://www.ec-cube.net/info/security/#securit_flow01
https://www.ec-cube.net/info/security/#securit_flow01
今後不正なデータや、不具合が発生した場合は以下ec-cube.coお問い合わせフォームまで、ご契約企業様より直接ご連絡ください。
https://ec-cube.secure.force.com/coSupport/
脆弱性の公開情報は本ページ記載の情報をご確認ください。
ご自身で確認が難しい場合は、システム構築を担当された方やセキュリティ専門企業へご相談ください。
https://www.ec-cube.net/news/detail.php?news_id=383#p-news__sections3
https://www.ec-cube.net/info/weakness/20210507/#check
攻撃の形跡が確認された場合でもサイト改ざんや情報漏洩等の実被害が発生しているとは限りませんが、今後の被害を発生させないためにも、早急にサイトを停止しシステム担当者やセキュリティの専門企業にご相談ください。
https://www.ec-cube.net/news/detail.php?news_id=383#p-news__sections3
少しでも不安な点等ございましたら、セキュリティの専門企業をご紹介しておりますので、ご相談くださいませ。
https://www.ec-cube.net/news/detail.php?news_id=383#p-news__sections3
攻撃された可能性の確認にて発見された不正データは以下のようにご対応をお願いいたします。
【1】攻撃が成立しておらず、被害の可能性がない場合
パッチが適用されていればデータがあったとしても同様の攻撃は成立しませんが、不安がある場合は、データの削除や修正を行ってください。
不正データの削除や修正方法に関しては以下をご確認ください。
https://www.ec-cube.net/info/weakness/20210507/#delete_data
【2】既に攻撃が成立しており実被害が発生している恐れがある場合
調査で必要になる可能性があるため、不正なデータは削除や更新をせずそのままの状態で調査依頼されることを推奨いたします。