EC-CUBE モジュール「ルミーズ決済モジュール(2.11系・2.12系・2.13系)」における複数の脆弱性

2019年10月8日

EC-CUBE「ルミーズ決済モジュール(2.11系・2.12系・2.13系)」における複数の脆弱性がJPCERTよりアナウンスされています。
モジュールは見落とすケースが少なからずありますので、必ず確認の上、アップデートを。

https://jvn.jp/jp/JVN59436681/
JVN#59436681

詳細
ルミーズ株式会社が提供する EC-CUBE 用モジュール「ルミーズ決済モジュール(2.11系・2.12系・2.13系)」には、次の複数の脆弱性が存在します。
クロスサイトスクリプティング (CWE-79) – CVE-2019-6016
情報漏えい (CWE-200) – CVE-2019-6017

想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
当該製品にアクセス可能なユーザのウェブブラウザ上で、任意のスクリプトを実行される – CVE-2019-6016
遠隔の第三者によって、当該製品に登録されている情報を取得される – CVE-2019-6017

ルミーズ株式会社様とは決済側でパートナーを結んでおりますが、EC-CUBEのモジュールはWordpressのようにプラグインアップデート通知はありませんので、ご利用の場合は必ずご確認ください。
※弊社へEC-CUBEの保守依頼されているクライアント様のサイトは既に対応済みとなります。

Recent Entries