こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。
2022年2月にEC-CubeについてHTTP Host ヘッダの処理に関する脆弱性(CVE-2022-25355)が発表されました。
サイト表示やサーバー本体への影響はなく、JNVDBでの深刻度はLow(低)となっております。
https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-000015.html
EC-Cube でパスワード再発行など、ユーザー側の入力を起点にサイトURLをメールで案内する場合、HTTP Hostを細工したリクエストを送ることでサイトURLを改ざんできる可能性があります。
脆弱性の対象となるバージョン
影響を受けるバージョンは下記の通りです。
EC-CUBE 3.0.0 から 3.0.18-p3 まで (EC-CUBE 3系)
EC-CUBE 4.0.0 から 4.1.1 まで (EC-CUBE 4系)
脆弱性の対策
EC-Cube 4系の場合は環境変数もしくは.envファイルにてTRUSTED_HOSTSの値を明示する形になります。4.1.2以降はインストール時に設定されるため対応は不要です。
EC-Cube 3系の場合はメーカーの案内によるコードの修正が必要になります。
https://www.ec-cube.net/info/weakness/20220221/
Webサイトへの影響について
今回の脆弱性を悪用することでEC-Cubeからのメールなどに記載されるサイトURLを改ざんできる可能性があります。とはいえ、考えられるケースとしては会員登録やパスワード再発行でURLが改ざんされたメールを送信できる程度となり、URL以外のメール件名や送信者を偽装できるものではないため、悪用できるケースはかなり限定されます。
さいごに
ECサイトの運用にあたって、サイトのセキュリティや稼働監視に日々注力する必要があります。
弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。
サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
