公開日:2012/10/31 最終更新日:2012/10/31

JVNVU#207540
TomatoCart の PayPal Express Checkout モジュールに検証不備の脆弱性

概要

TomatoCart の PayPal Express Checkout モジュールには、検証不備の脆弱性が存在します。

影響を受けるシステム

  • TomatoCart 1.1.7 上の PayPal Express Checkout モジュール

なお、その他のバージョンも本脆弱性の影響を受ける可能性があるとのことです。

詳細情報

TomatoCart の PayPal Express Checkout モジュールには、決済に関する情報の検証に不備が存在します。

想定される影響

不正な決済情報で、商品購入手続きを行われる可能性があります。

対策方法

2012年10月31日現在、対策方法はありません。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を回避することが可能です。

  • PayPal Express Checkout による決済を使用しない

ベンダ情報

ベンダ リンク
TomatoCart Open Source Shopping Cart Software - TomatoCart

参考情報

  1. US-CERT Vulnerability Note VU#207540
    TomatoCart with PayPal Express Checkout design flaw vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2012-4934
JVN iPedia