JVNDB-2012-004478

JVNDB-2012-004478
PayPal Website Payments Standard を使用している osCommerce Online Merchant に検証不備の脆弱性
概要
PayPal Website Payments Standard アドオンを使用している osCommerce Online Merchant には、検証不備の脆弱性が存在します。 PayPal Website Payments Standard アドオンを使用している osCommerce Online Merchant には、決済に関する情報の検証に不備が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 5.0 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

osCommerce osCommerce Online Merchant v2.3.4 より前のバージョン PayPal Website Payments Standard v1.1 より前のバージョン

想定される影響
不正な決済情報で、商品購入手続きを行われる可能性があります。
対策
2012年9月19日現在、対策方法はありません。開発者によると、本脆弱性を修正した osCommerce Online Merchant v2.3.4 および PayPal Website Payments Standard v1.1 を公開予定とのことです。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 * PayPal Website Payments Standard の設定で "Encrypted Web Payments" を有効にする
ベンダ情報
osCommerce osCommerce : osCommerce, Open Source Online Shop E-Commerce Solutions osCommerce : Community Add-Ons - PayPal Website Payments Standard
CWEによる脆弱性タイプ一覧 CWEとは?
設計上の問題(CWE-DesignError) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2012-2991
参考情報
JVN : JVNVU#459446 National Vulnerability Database (NVD) : CVE-2012-2991 US-CERT Vulnerability Note : VU#459446
更新履歴
[2012年09月21日] 掲載 [2012年09月27日] CVSS による深刻度：基本値と脆弱性評価基準を追加 CWE による脆弱性タイプ一覧：CWE-ID を追加


公表日	2012/09/19
登録日	2012/09/21
最終更新日	2012/09/27

PayPal Website Payments Standard を使用している osCommerce Online Merchant に検証不備の脆弱性