JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は6月23日、「Magento に関するアップデート (APSB20-41) について」において、AdobeのMagento Commerce 1.14系およびMagento Open Source 1系に脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって任意のコードが実行される危険性がある。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Magento Commerce 1 1.14.4.5およびこれよりも前のバージョン
- Magento Open Source 1 1.9.4.5およびこれよりも前のバージョン
脆弱性が修正されたセキュリティパッチは次のとおり。
- Magento Commerce 1 SUPEE-11346
- Magento Open Source 1 SUPEE-11346
脆弱性の1つは深刻度が緊急(Critital)に分類されており注意が必要。JPCERT/CCは必要に応じてアップデートを適用することを推奨している。
Magento Commerce 1.14およびMagento Open Source 1のサポートは2020年6月でサポートの終了が予定されている(参考:「Supporting Magento 1 through June 2020 | Magento」)。今回リリースされたセキュリティパッチが最後のアップデートになるため注意が必要。該当するプロダクトを使用している場合はセキュリティサポートが提供されているプロダクトやバージョンへ移行することが望まれる。