米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は2月14日、「Adobe Releases Security Updates for Commerce and Magento Open Source」において、Adobeが提供しているEC基盤の「Adobe Commerce」および「Magento Open Source」に重大な脆弱性が発見され、同社がセキュリティアップデートをリリースしたと伝えた。この脆弱性を悪用されると、攻撃者によって対象システムで任意のコードを実行される危険性がある。
該当する脆弱性に関する情報はAdobeによる次のセキュリティアドバイザリにまとめられている。
-
Security update available for Adobe Commerce | APSB22-12
この脆弱性はCVE-2022-24086として追跡されており、一部のAdobe Commerceの加盟店を標的として実際に攻撃への悪用が確認されているという。CVSS v3のベーススコアは9.8で、深刻度「Critical(緊急)」に分類されている。Adobeによるアップデートの優先度も「1」となっており、この評価はできるだけ早く(例えば72時間以内)アップデートの適用が推奨されることを意味している。
影響を受けるバージョンは次のとおり。
- Adobe Commerce 2.4.3-p1以前のバージョン
- Adobe Commerce 2.3.7-p2以前のバージョン
- Magento Open Source 2.4.3-p1以前のバージョン
- Magento Open Source 2.3.7-p2以前のバージョン
それぞれ、次のバージョンにアップデートすることで脆弱性の影響を回避できる。
- Adobe Commerce MDVA-43395_EE_2.4.3-p1_v1
- Magento Open Source MDVA-43395_EE_2.4.3-p1_v1
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、Adobeによるセキュリティアドバイザリを確認した上で必要なアップデートを適用することを推奨している。
