Magentoは複数の重大なXSS脆弱性に対処する新たなセキュリティパッチを公開した。
コンテンツ管理システム(CMS)を手がけるMagentoは米国時間1月20日、セキュリティアップデートを公開した。このアップデートは、2つの重大な問題に対するパッチを含む、複数のパッチから成り立っている。
これら格納型のXSS脆弱性を悪用することで攻撃者は、Magentoベースのウェブサイトの乗っ取りや、ユーザー権限の昇格、顧客データの窃盗、管理者アカウントを使ったウェブサイトの掌握が可能になる。
また、MagentoはEコマース管理プラットフォームであるため、顧客の個人情報が盗まれ、なりすまし犯罪といった問題が引き起こされるおそれもある。
1つ目の脆弱性は、遠隔地からの悪用を可能にするものであり、「Magento Community Edition(CE)」の1.9.2.3よりも前のバージョンと、「Magento Enterprise Edition(EE)」の1.14.2.3よりも前のバージョンに影響する。この脆弱性を突くには、Magentoを通じて、悪意のあるJavaScriptコードを含んだ電子メールを送信するだけでよい。
こういった電子メールのバリデートが適切に実施されていないため、Magento内で注文内容を閲覧すると、当該電子メールに埋め込まれたコードが管理者コンテキストで実行されることになる。その結果、電子メール内に埋め込まれた悪意のあるコードによって管理者セッションが奪われるというわけだ。
重大と位置付けられている2つ目の脆弱性は、Magentoのコメントセクション内で発見された。同社によると、「PayPal PayFlow Pro」支払いモジュールに依存する「特別な細工を施したリクエスト」を注文に付加することが可能だという。
ここでもリクエストのフィルタが適切に実施されていないため、MagentoのデータベースにJavaScriptのコードが保存される可能性がある。このため、管理者が注文検索を行った際にサーバ側で該当コードへのアクセスが行われた場合、コードの実行とともにセッションが乗っ取られるおそれがある。
また、今回のセキュリティアップデートでは、その他の問題にも対処されている。具体的には、RSSベースの情報流出や、ブルートフォース攻撃に対する脆弱性、管理者用ログインページにおけるフォーム保護の欠如(偽のリクエストを使用した攻撃が可能になる)、電子メール配信におけるDoS攻撃といった問題などだ。
ウェブ管理者は攻撃からウェブサイトを守るために、この最新のパッチ群「SUPEE-7405」を早急に適用すべきだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
