公開日:2013/09/24 最終更新日:2013/10/07

JVNVU#99975381
(訂正) NETELLER Direct に HTTP リクエストの検証不備の脆弱性

概要

NETELLER Direct の Payment API には、HTTP リクエストの検証不備の脆弱性が存在します。

(2013年10月7日 - 追記)
本脆弱性のレポートは正しくなかったとのことです。

影響を受けるシステム

  • NETELLER Direct Payment API version 4.1.6 およびそれ以前

詳細情報

NETELLER Direct の Payment API には、HTTP POST リクエストに含まれる amountmerchant_idmerch_keysecure_id パラメータを改ざんしてサーバ側に処理させることが可能な問題(CWE-602: サーバ側で実施すべき検証処理をクライアント側で実施している問題)が存在します。

(2013年10月7日 - 追記)
本脆弱性のレポートは正しくなかったとのことです。

想定される影響

細工された HTTP POST リクエストをサーバが受信することで、不正に購入手続きを完了される可能性があります。

対策方法

2013年9月24日現在、対策方法は不明です。

ベンダ情報

ベンダ リンク
NETELLER NETELLER Information for VU#705004
NETELLER Direct v4.1.3 API Technical Documentation
トップページ

参考情報

  1. CERT/CC Vulnerability Note VU#705004
    NETELLER Direct Payment API is not vulnerable to reported parameter manipulation

JPCERT/CCからの補足情報

VU#705004 によると、さらなる検証や開発者との協議の結果、本脆弱性のレポートは正しくなかったとのことです。

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-3611
JVN iPedia

更新履歴

2013/10/07
本脆弱性のレポートが誤りであった旨を記載し、VU#705004 のタイトルを更新しました。