ニュース
「Magento」に深刻な脆弱性、ECサイトが乗っ取られる恐れ
ECプラットフォーム「Magento」に見つかったXSSの脆弱性は、リモートから簡単に悪用でき、ECサイトを乗っ取られる恐れもある。
オープンソースのECプラットフォーム「Magento」に深刻な脆弱性が見つかり、1月20日付で公開されたエンタープライズ版とコミュニティ版のバージョン2.0.1で修正された。
Magentoのセキュリティ情報によれば、最も危険度が高いクロスサイトスクリプティング(XSS)の脆弱性では、ストアフロントで顧客がJavaScriptコードを含んだユーザー名を登録すると、Magentoでそのユーザー名が適切に検証されず、バックエンドで編集する際に管理者コンテキストで実行される。このJavaScriptによって管理者セッションが乗っ取られたり、ストア管理者として任意の操作が行われたりする恐れがある。
脆弱性を発見したセキュリティ企業のSucuriによると、この問題はリモートから簡単に悪用でき、Webサイトを乗っ取られて新しい管理者アカウントを開設され、顧客情報を盗み出されたりする恐れがあるという。
現時点で攻撃の発生は確認されていないものの、この脆弱性はMagento CEのほぼ全てのインストールに影響が及ぶことから、できるだけ早くパッチを適用するよう同社は促している。
バージョン2.0.1では他にも情報流出やSQLインジェクション、XSSなど危険度の高い脆弱性が多数修正されている。また、PHP7.0.2の正式サポートなどの新機能も盛り込まれた。
関連記事
- 「Magento」利用のECサイトに不正なコード、マルウェア感染の踏み台に
コンテンツ管理システムの「Magento」を使っている多数サイトに大規模攻撃が仕掛けられ、マルウェア感染サイトに誘導させる不正なスクリプトが挿入されていることが分かった。 - Joomlaの脆弱性突く攻撃発生、直ちにパッチ適用を
脆弱性情報が公開されてからわずか4時間のうちに、人気サイトに対する直接的な攻撃が確認されたという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.