【CVE-2016-4862】 TwigmoアドオンにおけるPHPオブジェクトインジェクションの脆弱性について

カテゴリー : セキュリティ
2016年09月14日 (水)

CS-Cartバージョン4.3.9以前(2016年9月14日時点におけるすべてのバージョン)に同梱されているTwigmoアドオンに、PHPオブジェクトインジェクションの脆弱性が存在することが判明しました。
本脆弱性を悪用された場合、悪意ある第三者の攻撃により、CS-Cartが動作しているサーバー上のファイルが操作される危険性があります。
本脆弱性の影響を受けるCS-Cartのバージョンおよび条件、修正方法を以下に示しますので、対策を実施してください。


脆弱性の影響を受けるCS-Cartのバージョン

  • CS-Cartスタンダード版 v4.3.9以前のバージョン
  • CS-Cartマーケットプレイス版 v4.3.9以前のバージョン

※ 2016年9月14日時点におけるすべてのバージョンが対象となります。
※ 2016年9月14日13時以降にCS-Cart.jpからダウンロードしたCS-Cartは対策済みのため対応不要です。
※ CS-Cartのバージョン確認方法は こちら

脆弱性の影響を受ける条件

以下の条件を「すべて」充たした場合に本脆弱性の影響を受けるため対策が必要となります。

  • CS-Cart および CS-Cartマーケットプレイス版 のバージョン4.3.9以前を利用している
  • Twigmoアドオンを利用している
  • iOSまたはAndroid用の「Twigmo Admin App」を利用している

脆弱性の説明

Twigmoアドオンにおいて、「Twigmo Admin App」からのデータ受信時の処理に脆弱性が存在します。
悪意ある第三者が何らかの方法で「Twigmo Admin App」へのログインに必要なクッキーの取得に成功した場合に、本脆弱性を攻撃してCS-Cartが動作しているサーバー上のファイルを操作する可能性があります。

対策方法

本脆弱性は、次に示す手順で修正できます。上記の条件に該当するお客様は、必ず実施いただきますようお願いいたします。
 ----------------------------------------------------------------
 サーバーにインストールされたCS-Cartの
app/addons/twigmo/controllers/backend/twigmo.php
 に記述されている
$_REQUEST['status'] = unserialize($_REQUEST['status']);
 を削除またはコメントアウトする。
 ※ CS-Cart V2系またはV3系をご利用の場合は、
addons/twigmo/controllers/admin/twigmo.php
 に対して同様の作業を実施してください。
 ----------------------------------------------------------------

謝辞

本脆弱性をご報告いただいた届出者様に対し、心より御礼申し上げます。ありがとうございました。

連絡先

本脆弱性に関するお問い合わせは、以下のURLよりお寄せください。
http://helpdesk.cs-cart.jp/index.php?/Tickets/Submit/RenderForm/2