2019年10月8日
EC-CUBE「ルミーズ決済モジュール(2.11系・2.12系・2.13系)」における複数の脆弱性がJPCERTよりアナウンスされています。
モジュールは見落とすケースが少なからずありますので、必ず確認の上、アップデートを。
https://jvn.jp/jp/JVN59436681/
JVN#59436681
詳細
ルミーズ株式会社が提供する EC-CUBE 用モジュール「ルミーズ決済モジュール(2.11系・2.12系・2.13系)」には、次の複数の脆弱性が存在します。
クロスサイトスクリプティング (CWE-79) – CVE-2019-6016
情報漏えい (CWE-200) – CVE-2019-6017想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
当該製品にアクセス可能なユーザのウェブブラウザ上で、任意のスクリプトを実行される – CVE-2019-6016
遠隔の第三者によって、当該製品に登録されている情報を取得される – CVE-2019-6017
ルミーズ株式会社様とは決済側でパートナーを結んでおりますが、EC-CUBEのモジュールはWordpressのようにプラグインアップデート通知はありませんので、ご利用の場合は必ずご確認ください。
※弊社へEC-CUBEの保守依頼されているクライアント様のサイトは既に対応済みとなります。
Webサイトリニューアルから新規ホームページ制作・運営・保守まで、目的達成を実現いたします。
各種Webサイト・ECサイト制作、広告代行に関するご相談、ご質問などお気軽にお問合せ下さい。
Tel : 03-5324-2318 / Email : info@reinc.jp