Ecommerce Alert: Shopware Hit by Critical-Risk CVE-2024-22406 Flaw
2024/01/17 SecurityOnline — あらゆる規模の企業に対して、オンライン・ストア作成/管理の機能を提供する、オープンソースの e コマース・プラットフォーム Shopware に、深刻な脆弱性 CVE-2024-22406 (CVSS:9.3) が発見された。この人気のオープンソース・プラットフォームに依存している企業は、重大な脅威にさらされる可能性がある。
この脆弱性は、一見何の変哲もない機能である、Shopware アプリケーション API 内の検索機能に存在する。この機能は、効率的なデータ検索/管理を可能にする、UX (user experience) に不可欠なものだ。しかし、”aggregations” オブジェクトに、特に “name” フィールドに、致命的な弱点が発見されている。この脆弱性は、攻撃者によるデータベース・クエリの操作を可能にする、古くから有効なテクニックである、SQL インジェクション攻撃につながる可能性があるという。
さらに言うと、脆弱性 CVE-2024-22406 の悪用は悪質なものとなる。この脆弱性の悪用に成功した攻撃者は、ブラインド SQL インジェクションの一種である時間ベースの SQL クエリーを活用し、従来の検知メカニズムを作動させることなく、こっそりとデータを吸い上げることが可能になる。この方法は直ぐにデータを返さないが、データベースのレスポンスタイムに影響を与え、間接的に重要な情報を引き出せるものだ。
Shopware のアドバイザリには、「この関数により実行される検索は、”aggregations” オブジェクトのパラメータを使って集約できる。この “aggregations” オブジェクトの “name” フィールドに存在する、SQL インジェクションの脆弱性により、時間ベースの SQL クエリを使って悪用される可能性がある」と詳述されている。
このような悪用により、小規模なオンライン・ストアから大規模な e コマース・プラットフォームまで、あらゆる規模の企業が、データ漏洩から完全な業務停止に至るまでの、悲惨な結果に直面する可能性がある。この脆弱性の影響を受けるバージョンは 6.5.7.3 以下であり、Shopware はバージョン 6.5.7.4 で、この問題に対処している。
Shopware は、古いバージョン (6.1〜6.4) のユーザーへの救済措置として、セキュリティ・プラグインを提供している。このプラグインは、SQL インジェクションの脅威に対して必要不可欠な防御策を提供する。しかし、最も効果的な防御策は、Shopware を最新バージョンへアップグレードすることだ。このアップグレードにより、現在の脆弱性にパッチが適用されるだけではなく、潜在的なセキュリティ脅威のスペクトルに対してプラットフォームが強化されるという。
コマースサイトのためのソリューションというと、Magento と PrestaShop などを知っていましたが、Shopware という製品もあるのですね。また、ブラインド SQL インジェクションという手法ですが、つい先日も、どこかで見かけた気がします。よろしければ、SQL Injection で検索も、カテゴリ Retail と併せて、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.