EC-Cube に軽微な脆弱性。ECサイトへの影響と対策について (CVE-2022-25355)

こんにちは。「SiteCloud」プリセールスの高瀬です。

2022年2月にEC-CubeについてHTTP Host ヘッダの処理に関する脆弱性(CVE-2022-25355)が発表されました。

サイト表示やサーバー本体への影響はなく、JNVDBでの深刻度はLow(低)となっております。

https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-000015.html

EC-Cube でパスワード再発行など、ユーザー側の入力を起点にサイトURLをメールで案内する場合、HTTP Hostを細工したリクエストを送ることでサイトURLを改ざんできる可能性があります。

脆弱性の対象となるバージョン

影響を受けるバージョンは下記の通りです。

EC-CUBE 3.0.0 から 3.0.18-p3 まで (EC-CUBE 3系)

EC-CUBE 4.0.0 から 4.1.1 まで (EC-CUBE 4系)

脆弱性の対策

EC-Cube 4系の場合は環境変数もしくは.envファイルにてTRUSTED_HOSTSの値を明示する形になります。4.1.2以降はインストール時に設定されるため対応は不要です。

EC-Cube 3系の場合はメーカーの案内によるコードの修正が必要になります。

https://www.ec-cube.net/info/weakness/20220221/

Webサイトへの影響について

今回の脆弱性を悪用することでEC-Cubeからのメールなどに記載されるサイトURLを改ざんできる可能性があります。とはいえ、考えられるケースとしては会員登録やパスワード再発行でURLが改ざんされたメールを送信できる程度となり、URL以外のメール件名や送信者を偽装できるものではないため、悪用できるケースはかなり限定されます。

さいごに

ECサイトの運用にあたって、サイトのセキュリティや稼働監視に日々注力する必要があります。

弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。

サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。

コーポレートサイトをクラウドでセキュアに

SiteCloudガイドブック

「SiteCloud」の詳しい内容が分かる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • SiteCloudの主な機能
  • 導入事例
  • 導入までの流れ

関連する解決策

最新記事

タグ

詳しい資料をご覧いただけます

    サイバーの鎧のサービス内容を記載した資料をダウンロードできます。
             

【無料診断実施中】サーバーセキュリティ診断

経験豊富なセキュリティ専門技術者が、サーバーの状況を診断して、分かりやすい診断結果と今後の対応策をご覧いただけます。

無料サーバー診断申し込み
close