Adobe Issues Critical Security Updates for Commerce and Magento Platforms
2024/08/14 SecurityOnline — 人気 eコマース・プラットフォームである Adobe Commerce と Magento Open Source 向けの、重要なセキュリティ・アップデートがリリースされた。このアップデートには、さまざまな脆弱性の修正が取り込まれているが、その中には、悪意のコード実行/機密ファイルの窃取/セキュリティ機能の回避などに加えて、システムの完全な制御の乗っ取りを、攻撃者に対して許すものもあり得るという。
今回に修正された Critical な脆弱性 CVE-2024-39397 (CVSS 9.0) は、危険なタイプのファイルのアップロードを無制限に許すことで、任意のコード実行にいたる可能性があるものだ。この脆弱性は、Apache Web サーバを使用しているシステムに、顕著な影響を与えるという。もう1つの Critical な脆弱性 CVE-2024-39398 は、過剰な認証試行の不適切な制限に関するものであり、セキュリティ機能のバイパスを引き起こす可能性がある。
さらに Adobe は、以下のような High レベルの問題に対処している:
- パス・トラバーサル:CVE-2024-39399:任意のファイル・システム読み取り
- 蓄積型 XSS:CVE-2024-39400: 任意のコード実行
- OS コマンド・インジェクション:CVE-2024-39401/CVE-2024-39402: 任意のコード実行
さらに、不適切なアクセス制御と権限付与に関連する、Medium レベルの脆弱性 CVE-2024-39404 ~ CVE-2024-39418 も修正され、特権の昇格やセキュリティ機能のバイパスの可能性が対処された。
この脆弱性は、Adobe Commerce/Magento Open Source のバージョン 2.4.7-p2 以下に影響を及ぼす。Adobe が強く推奨するのは、最新バージョン 2.4.7-p2 または特定の CVE に対する個別のパッチを直ちに適用し、潜在的なリスクを軽減することである。
このアップデートの優先度は [3] であり、それらの脆弱性が現時点で積極的に悪用されていないことを示しているが、システムに対する潜在的な影響は大きい。
詳細なインストール手順および情報については、リリースノートおよびアップデートに記載されている、セキュリティ・アドバイザリ・ページを参照してほしい。
2024/08/13 の「Adobe の 2024年8月アップデート:Acrobat/Illustrator/Photoshop などの脆弱性を修正」でも、Adobe Commerce/Magento Open Source に存在する一連の脆弱性がリストアップされていますが、今日の記事は、その中で重視すべき脆弱性と、それが放置された場合のリスクが、簡潔にまとめられています。それだけ、eコマース製品の脆弱性は、大きな影響を及ぼすということなのでしょう。よろしければ、Magento で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.