United States Computer Emergency Readiness Team (US-CERT)は7月29日(米国時間)、「Adobe Releases Security Updated for Magento|CISA」において、Adobeが開発する電子商取引システムの「Magento」に複数の深刻な脆弱性が存在すると伝えた。対象の脆弱性を利用されると、攻撃者によって任意のコードが実行されたり、署名の検証を回避されたりする危険性がある。

  • Adobe Releases Security Updated for Magento|CISA

    Adobe Releases Security Updated for Magento | CISA

MagentoはもともとはMagento社によって開発されたもので、2018年に同社がAdobeに買収され、現在はAdobe Commerce Cloudのラインアップに統合されている。オープンソース版のMagento Open Source 2(旧称Magento Community Edition)と有償版のMagento Commerce 2(旧称Magento Enterprise Edition)があるが、今回報告されている脆弱性は両エディションに存在する。

脆弱性およびセキュリティアップデートに関する情報は、開発元による次のページにまとめられている。

今回のセキュリティアップデートには、深刻度が"緊急"(Critical)の脆弱性2件と、"重要"(Important)の脆弱性2件に対する修正が含まれているとのこと。そのうち"緊急"に分類されたものは、パストラバーサル攻撃に対する脆弱性とセキュリティ対策を回避されてしまう脆弱性で、いずれも任意のコードの実行を許してしまう危険性がある。"重要"に分類されたものは、電子署名の検証を回避されてしまう脆弱性と、DOMベースのクロスサイトスクリプティングによる任意のコード実行を許してしまう脆弱性とのことだ。

脆弱性が存在するのは、Magento Commerce 2およびMagento Open Source 2のバージョン2.3.5-p1以前。いずれも、バージョン2.4.0またはバージョン2.3.5-p2にアップデートすることで回避できる。アップデートの適用優先度は3段階中の"2"とされており、これは一定期間(例えば、30日など)以内のアップデートの適用を促すものである。