Tag Archive 脆弱性

welcart
このページはWelcartご利用の方が対象です

このページは、2021年06月09日に作成したページです。
このページに掲載しているWelcartの仕様・機能・操作手順は、現在リリースされている最新バージョンのWelcartと異なる場合がございます。

このページに掲載している
Welcartのバージョン:
Welcart2.2.3以下

welcartの公式からwelcart 2.2.3以下でのクロスサイトスクリプティングの脆弱性報告が発表されました。

welcart 2.2.4よりも低いバージョン(2.2.3以下)を使い続ける場合、管理画面にて、JavaScriptが実行される危険性(クロスサイトスクリプティング)があります。お早めのアップグレード対応をお願いいたします。なお、保守管理をご利用の方・納品後3か月以内のお客様、現在開発中のお客様は、弊社の方でアップグレード済又はアップグレード予定です。

テストサイトが用意されている場合は、テストサイトでまずアップグレードして検証

お客様によっては、テストサイトをご用意しています。※

※ お客様ご利用中のサーバーや、ご予算、納期等の事情によりテストサイトを用意していない場合もあります。

テストサイトのご用意があるお客様は、先ずはテストサイトをアップグレードし不具合が無いか検証してから、本番サイトをアップグレードしてください。

 

アップグレードの前には必ずバックアップを

 

万が一welcartのアップグレードにより、不具合が発生した場合でも、元の状態に戻せる様にこちらのデータをバックアップしてください。

上記ページの中でも、DBデータは必ずバックアップしてください。

 

Welcart 2.2以降の主な修正

会員関連のセキュリティを強化

  • 会員のスパム登録に対処するため、会員の新規登録時に Google reCAPTCHA v3 の利用ができるようオプション機能を実装
  • 会員登録、パスワード変更時のパスワードポリシーを厳密にチェックおよびメッセージするよう仕様を改善
  • 会員ログインに対するブルートフォース攻撃に対処するため、連続ログイン失敗時のアクセス拒否機能を実装

 

不具合の修正と機能の改善

 

PayPal関連
  • 定期購入の自動受注で決済エラーになった後、再決済ができなかった不具合を修正
  • 継続課金会員情報画面の取引金額が通貨フォーマットされていなかった不具合を修正
  • PayPal を利用停止にすると、内容確認画面で JavaScript エラーが発生する不具合を修正
  • 複数配送先プラグイン利用時、複数配送先を指定した注文を PayPal で決済するとき、決済ができない不具合を修正

 

ブルートフォース対策関連
  • ブルートフォース対策オプション設定が更新できない不具合を修正
  • ブルートフォース対策でログインエラーチェック漏れがあった不具合を修正

 

ウィジェット関連
  • 「Welcart 最近の投稿」というウィジェットを利用した時、記事のタイトルが全て現在表示しているページのタイトルになってしまう不具合を修正

 

その他
  • 管理画面の商品リストで、商品コードまたは商品名順で並び替えをした時に、並び替えの解除が行えるよう仕様を改善
  • 最新のGoogle Analytics for WordPress by MonsterInsightsでコンバージョンが取れなくなった不具合を修正
  • 商品リストで在庫状態を指定して検索した時に、2ページ目に遷移すると検索条件が解除されてしまう不具合を修正
  • 基本設定「会員ポイント:付与する/付与しない」の表示を変更
  • 会員システムを利用しないにしている場合にお客様情報ページに会員規約説明文が表示されてしまう不具合を修正
  • PDF 出力時 PHP Notice エラーが表示される不具合を修正
  • 管理画面の設定項目のヒントが、タイトルをクリックしても表示されない不具合を修正
  • wc_templates用のテンプレートタグ(関数)を追加

CMS
このページはEC Cubeご利用の方が対象です

このページは、2021年05月12日に作成したページです。
このページに掲載しているEC Cubeの仕様・機能・操作手順は、現在リリースされている最新バージョンのEC Cubeと異なる場合がございます。

※ EC-CUBE 4.0.0~4.0.5

 

EC-CUBE4系をご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されました。

該当バージョンのEC-CUBEをご利用のお客様は、出来る限りお早目に対処をお願いいたします。

EC-CUBEを利用した弊社制作中のサイトのお客様

EC-CUBEを利用して制作中のサイトの場合は、脆弱性対応版を適応した上で制作を進めます。

 

EC-CUBEを利用した制作サイトで、納品後3か月以内の場合

無償で脆弱性対応版にアップデート致します。アップデートによる不具合確認・対応も無償対応致します。

 

EC-CUBEを利用した制作サイトで、保守サポートをご利用しているお客様

無償で脆弱性対応版にアップデート致します。アップデートによる不具合確認・対応も無償対応致します。

 

EC-CUBEクラウド版をご利用のお客様

EC-CUBEクラウドの自動アップデートをお待ちください。アップデートによる不具合確認は当社サポート範囲ではございません。お客様ご自身でご確認ください。また、アップデートによる不具合が発生した場合で、サポート期間外の場合は、別途見積となります。

 

上記以外のお客様

以下の情報を参考に、お客様ご自身でご対応ください。

弊社が代行して行う事も可能ですが、アップデートによる不具合確認・対応含めて別途見積が必要となります。

 

 

本脆弱性は、既に複数サイトでの攻撃を確認しており、緊急度が非常に高い脆弱性でございます。
該当バージョンでサイトを運営されている場合は、緊急対応のためのHotfixパッチを公開しておりますので、内容をご確認のうえ早急にご対応をお願いいたします。

 

脆弱性の詳細

クロスサイトスクリプティングの脆弱性

危険度:高

該当バージョン:EC-CUBE 4.0.0~4.0.5

詳細はこちら

 

 

修正方法について

緊急対応のためのホットフィックスパッチを以下のページにて公開しております。

パッチファイルの適用または、差分の適用にて修正されます。

本脆弱性における攻撃は既に複数サイトで確認されています。早急に修正対応をお願いいたします。

詳細はこちら

このページの関連記事

この記事には、以下の関連記事がございます。合わせてご覧ください。

常時SSL化設定代行

常時SSL化をお勧めする訳

従来のHTTP通信は、訪問者に送信するデータを平文(暗号化されていない状態)のまま送信します。この方式では盗聴・盗聴からのデータ改竄、悪意のあるサイトへの誘導、ウェブサイトのなりすましなどの被害の糸口となります。

昨今はより生活におけるインターネットの依存度が高くなった影響で、運営側・訪問者双方に対する被害も急増しており、手口も巧妙になって来ております。

SSLは、サーバーと訪問者間の通信を暗号化し、サーバーの正当性を証明する事で、より安全な通信を実現します。SSL証明書をご利用中のサーバーにインストールする事で、常時SSL化ウェブサイトとして運営する事ができます。

SSL証明書について詳しくはこちら

 

常時SSL化によって、全ての被害を防ぐ事は出来ませんが、ウェブサイトの脆弱性対策として有効です。未だSSL化されていないウェブサイトを運営されているお客様がおりましたら、是非常時SSLをご検討ください。

 

SSLを導入されていないお客様向けに、常時SSL化設定代行サービスをご用意しております。ぜひご検討ください。

 

常時SSL化とは

ウェブサイトの一部コンテンツだけに、SSLを導入するのではなくサイト全体にSSLを導入する事です。

数年前まで、SSL証明書を導入するウェブサイトは問い合わせフォームや、アンケートフォームなどフォームを設置したサイトの限られたコンテンツのみに導入するのが、通常でした。

ウェブサイト全体にSSLを導入するサイトは、ECサイトやグループウェアなどサイト全体がセキュアである必要があるウェブサイトくらいでしたが、昨今はどんなサイトでも、サイトのどのページでもSSL通信すべきという傾向にあります。

 

今やウェブサイトに常時SSL化は欠かせない。その訳は?

常時SSL化がウェブサイトの標準となったのは、2018年7月に公開されたGoogleのブラウザ「Chrome68」がきっかけです。既に世界シェア一位の座にあるブラウザの、このバージョンでは全てのHTTP通信(SSL暗号化されていない)ウェブサイトに対し、「保護されていない通信」と表示される様になりました。

他のブラウザもこれに倣い、SSLで無いウェブサイトに対してアドレスバーに何らかの警告を出す様になりました。

 

各ブラウザの警告
google chromeの場合 クローム 非SSL FireFoxの場合 firefox 非SSL MicroSoft Edgeの場合 edge 非SSL

 

SEO対策への影響

常時SSL化が普及したきっかけは、常時SSL化にすればSEO対策になるという噂が流れた事も原因かと思われます。

確かにgoogleは、HTTPS対応したウェブページを優遇するというコメントを出しています。

(参考)開発者向けのブログでのコメント

但し、これはインターネット全体を安全にする為の、グーグルからの飴であり単なる基準の一つに過ぎません。