ニュース
» 2016年01月26日 07時34分 UPDATE

「Magento」に深刻な脆弱性、ECサイトが乗っ取られる恐れ

ECプラットフォーム「Magento」に見つかったXSSの脆弱性は、リモートから簡単に悪用でき、ECサイトを乗っ取られる恐れもある。

[鈴木聖子,ITmedia]

 オープンソースのECプラットフォーム「Magento」に深刻な脆弱性が見つかり、1月20日付で公開されたエンタープライズ版とコミュニティ版のバージョン2.0.1で修正された。

mgnt01.jpg 脆弱性修正版が公開された「Magento」

 Magentoのセキュリティ情報によれば、最も危険度が高いクロスサイトスクリプティング(XSS)の脆弱性では、ストアフロントで顧客がJavaScriptコードを含んだユーザー名を登録すると、Magentoでそのユーザー名が適切に検証されず、バックエンドで編集する際に管理者コンテキストで実行される。このJavaScriptによって管理者セッションが乗っ取られたり、ストア管理者として任意の操作が行われたりする恐れがある。

 脆弱性を発見したセキュリティ企業のSucuriによると、この問題はリモートから簡単に悪用でき、Webサイトを乗っ取られて新しい管理者アカウントを開設され、顧客情報を盗み出されたりする恐れがあるという。

 現時点で攻撃の発生は確認されていないものの、この脆弱性はMagento CEのほぼ全てのインストールに影響が及ぶことから、できるだけ早くパッチを適用するよう同社は促している。

mgnt02.jpg 脆弱性情報開示までの流れ(Securiより)

 バージョン2.0.1では他にも情報流出やSQLインジェクション、XSSなど危険度の高い脆弱性が多数修正されている。また、PHP7.0.2の正式サポートなどの新機能も盛り込まれた。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ