編集部からのお知らせ
PickUp! オンラインストレージの進化と課題
HCIの記事をまとめた資料ダウンロード

Eコマースプラットフォーム「Magento」にXSS脆弱性--セキュリティパッチ公開

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2016-01-26 10:37

 Magentoは複数の重大なXSS脆弱性に対処する新たなセキュリティパッチを公開した。

 コンテンツ管理システム(CMS)を手がけるMagentoは米国時間1月20日、セキュリティアップデートを公開した。このアップデートは、2つの重大な問題に対するパッチを含む、複数のパッチから成り立っている。

 これら格納型のXSS脆弱性を悪用することで攻撃者は、Magentoベースのウェブサイトの乗っ取りや、ユーザー権限の昇格、顧客データの窃盗、管理者アカウントを使ったウェブサイトの掌握が可能になる。

 また、MagentoはEコマース管理プラットフォームであるため、顧客の個人情報が盗まれ、なりすまし犯罪といった問題が引き起こされるおそれもある。

 1つ目の脆弱性は、遠隔地からの悪用を可能にするものであり、「Magento Community Edition(CE)」の1.9.2.3よりも前のバージョンと、「Magento Enterprise Edition(EE)」の1.14.2.3よりも前のバージョンに影響する。この脆弱性を突くには、Magentoを通じて、悪意のあるJavaScriptコードを含んだ電子メールを送信するだけでよい。

 こういった電子メールのバリデートが適切に実施されていないため、Magento内で注文内容を閲覧すると、当該電子メールに埋め込まれたコードが管理者コンテキストで実行されることになる。その結果、電子メール内に埋め込まれた悪意のあるコードによって管理者セッションが奪われるというわけだ。

 重大と位置付けられている2つ目の脆弱性は、Magentoのコメントセクション内で発見された。同社によると、「PayPal PayFlow Pro」支払いモジュールに依存する「特別な細工を施したリクエスト」を注文に付加することが可能だという。

 ここでもリクエストのフィルタが適切に実施されていないため、MagentoのデータベースにJavaScriptのコードが保存される可能性がある。このため、管理者が注文検索を行った際にサーバ側で該当コードへのアクセスが行われた場合、コードの実行とともにセッションが乗っ取られるおそれがある。

 また、今回のセキュリティアップデートでは、その他の問題にも対処されている。具体的には、RSSベースの情報流出や、ブルートフォース攻撃に対する脆弱性、管理者用ログインページにおけるフォーム保護の欠如(偽のリクエストを使用した攻撃が可能になる)、電子メール配信におけるDoS攻撃といった問題などだ。

 ウェブ管理者は攻撃からウェブサイトを守るために、この最新のパッチ群「SUPEE-7405」を早急に適用すべきだ。

Magentoは複数の重大なXSS脆弱性に対処する新たなセキュリティパッチを公開した

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]