United States Computer Emergency Readiness Team (US-CERT)は10月16日(米国時間)、「Adobe Releases Security Updates for Magento|CISA」において、Adobeのeコマースプラットフォーム「Magento Commerce」に複数の脆弱性が存在し、同社がセキュリティアップデートをリリースしたことをすると伝えた。これら脆弱性を悪用されると、攻撃者によって任意のコードを実行されるなどの危険性がある。

Magento Commerceはもともとオープンソースで開発されたPHPベースのeコマースプラットフォームで、2018年にAdobeによって買収され、Adobe Experience Cloudのラインアップに統合された。有償のMagento Commerceと無償のMagento Open Sourceがある。今回報告された脆弱性に関する情報はAdobeによる次のページにまとめられている。

  • Security Updates Available for Magento|APSB20-59

    Security Updates Available for Magento | APSB20-59

対象となるプロダクトおよびバージョンは次のとおり。

  • Magento Commerce 2.3.5-p1およびそれ以前のバージョン
  • Magento Commerce 2.3.5-p2およびそれ以前のバージョン
  • Magento Commerce 2.4.0およびそれ以前のバージョン
  • Magento Open Source 2.3.5-p1およびそれ以前のバージョン
  • Magento Open Source 2.3.5-p2およびそれ以前のバージョン
  • Magento Open Source 2.4.0およびそれ以前のバージョン

今回のセキュリティアップデートには、重要度が「緊急(Critical)」の脆弱性が2件、「重要(Important)」の脆弱性が6件、「中(Moderate)」の脆弱性が1件含まれている。そのうち、「緊急」のものを次に挙げる。

  • CVE-2020-24407: ファイルアップロード時の許可リストをバイパスできることで、任意のコードが実行できる可能性がある
  • CVE-2020-24400: SQLインジェクション攻撃によってデータベースへの不正なアクセスが行われる可能性がある

Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対し、上記のセキュリティ情報をチェックした上で、必要に応じてアップデートを適用することを推奨している。