United States Computer Emergency Readiness Team (US-CERT)は10月16日(米国時間)、「Adobe Releases Security Updates for Magento|CISA」において、Adobeのeコマースプラットフォーム「Magento Commerce」に複数の脆弱性が存在し、同社がセキュリティアップデートをリリースしたことをすると伝えた。これら脆弱性を悪用されると、攻撃者によって任意のコードを実行されるなどの危険性がある。
Magento Commerceはもともとオープンソースで開発されたPHPベースのeコマースプラットフォームで、2018年にAdobeによって買収され、Adobe Experience Cloudのラインアップに統合された。有償のMagento Commerceと無償のMagento Open Sourceがある。今回報告された脆弱性に関する情報はAdobeによる次のページにまとめられている。
対象となるプロダクトおよびバージョンは次のとおり。
- Magento Commerce 2.3.5-p1およびそれ以前のバージョン
- Magento Commerce 2.3.5-p2およびそれ以前のバージョン
- Magento Commerce 2.4.0およびそれ以前のバージョン
- Magento Open Source 2.3.5-p1およびそれ以前のバージョン
- Magento Open Source 2.3.5-p2およびそれ以前のバージョン
- Magento Open Source 2.4.0およびそれ以前のバージョン
今回のセキュリティアップデートには、重要度が「緊急(Critical)」の脆弱性が2件、「重要(Important)」の脆弱性が6件、「中(Moderate)」の脆弱性が1件含まれている。そのうち、「緊急」のものを次に挙げる。
- CVE-2020-24407: ファイルアップロード時の許可リストをバイパスできることで、任意のコードが実行できる可能性がある
- CVE-2020-24400: SQLインジェクション攻撃によってデータベースへの不正なアクセスが行われる可能性がある
Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対し、上記のセキュリティ情報をチェックした上で、必要に応じてアップデートを適用することを推奨している。