CVE-2024-27917: Critical Vulnerability in Popular E-Commerce Platform Shopware 6
2024/03/06 SecurityOnline — オープンソースのeコマース・プラットフォームとして広く利用されている、Shopware 6 に深刻な脆弱性 CVE-2024-27917 が発見された。この脆弱性は、オンラインストアを著しく混乱させ、顧客のショッピング環境に影響をおよぼす可能性がある。
脆弱性の詳細
- 根本的な原因:この脆弱性は、Shopware のセッション・データの管理機能に起因する。セッション・データとは、ユーザーがログインしているかどうか、カートに何が入っているかなどを記憶するデータである。ここで生じたバグとは、ユーザーが 404 ページ (Page not found) にアクセスすると、間違ったセッション情報がページの一部としてキャッシュされるというものである。
- 生じる問題:後続のユーザーが同じ 404 にアクセスすると、キャッシュされたセッション・クッキーが継承される。つまり、ログインしているユーザーを追い出した空のセッションの継承もしくは、重大なセキュリティ・リスクとなる他者セッションの継承の可能性が生じる。
- 回避策:この脆弱性の悪用は、PHP Redis エクステンションを用いて、セッション管理に Redis を使用することで排除できる。この設定は、404 ページのレスポンスでセッション・クッキーをキャッシュしないことにより、欠陥のあるメカニズムを回避し、CVE-2024-27917 によるリスクを無効化する。
現実世界への影響
脆弱性が悪用されると、以下のような影響が生じる可能性がある:
- 買い物客の混乱:顧客にとっては、突然の強制ログアウトや、ショッピング・カートのリセットなどが生じる可能性がある。
- 顧客のフラストレーションと売上の損失:このような混乱は、購入の中断や、店の評判の低下につながる。
- セキュリティ侵害の可能性:最悪の場合、この脆弱性を悪用する攻撃者が、他の買い物客のアカウントにアクセスする可能性がある。
ストアを守るために必要なこと
- ただちにパッチを当てる:Shopware 6.5.8.0〜6.5.8.6 を使用している場合は、バージョン6.5.8.7 へのアップデートが最優先である。これには、公式の修正が含まれている。
- 影響を受けない場合でも、Redis の導入を検討する:現時点で、セッション管理に Redis を使っていないのであれば、今こそ Redis を検討する絶好の機会だ。Redis は、パフォーマンスとスケーラビリティに、さらなる利点をもたらす。
セッション・クッキーが、次の買い物客に継承されてしまうという、とても怖いバグですね。文中に、カートの内容もクッキーにという行があるので、気になって調べたところ、Web 集客ラボというサイトに、「カートの中身が保存されているのでスムーズに買い物ができる」と記されていました。よろしければ、カテゴリ Retail も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.