「Magento」に深刻な脆弱性、ECサイトが乗っ取られる恐れ
ECプラットフォーム「Magento」に見つかったXSSの脆弱性は、リモートから簡単に悪用でき、ECサイトを乗っ取られる恐れもある。
オープンソースのECプラットフォーム「Magento」に深刻な脆弱性が見つかり、1月20日付で公開されたエンタープライズ版とコミュニティ版のバージョン2.0.1で修正された。
Magentoのセキュリティ情報によれば、最も危険度が高いクロスサイトスクリプティング(XSS)の脆弱性では、ストアフロントで顧客がJavaScriptコードを含んだユーザー名を登録すると、Magentoでそのユーザー名が適切に検証されず、バックエンドで編集する際に管理者コンテキストで実行される。このJavaScriptによって管理者セッションが乗っ取られたり、ストア管理者として任意の操作が行われたりする恐れがある。
脆弱性を発見したセキュリティ企業のSucuriによると、この問題はリモートから簡単に悪用でき、Webサイトを乗っ取られて新しい管理者アカウントを開設され、顧客情報を盗み出されたりする恐れがあるという。
現時点で攻撃の発生は確認されていないものの、この脆弱性はMagento CEのほぼ全てのインストールに影響が及ぶことから、できるだけ早くパッチを適用するよう同社は促している。
バージョン2.0.1では他にも情報流出やSQLインジェクション、XSSなど危険度の高い脆弱性が多数修正されている。また、PHP7.0.2の正式サポートなどの新機能も盛り込まれた。
関連記事
「Magento」利用のECサイトに不正なコード、マルウェア感染の踏み台に
コンテンツ管理システムの「Magento」を使っている多数サイトに大規模攻撃が仕掛けられ、マルウェア感染サイトに誘導させる不正なスクリプトが挿入されていることが分かった。Joomlaの脆弱性突く攻撃発生、直ちにパッチ適用を
脆弱性情報が公開されてからわずか4時間のうちに、人気サイトに対する直接的な攻撃が確認されたという。
関連リンク
Copyright© 2016 ITmedia, Inc. All Rights Reserved.
おすすめ動画ピックアップ
- PR -仲睦まじい夫婦の素敵な笑顔に思わずほっこり:
家族の絆、振り返ってみませんか 〜今と昔を表現した明治安田生命の新CM〜
明治安田生命の新企業イメージCM「ささえあう幸せ」篇がWeb上で配信中。同社の“家族の幸せを一生涯支え続けたい”という想いを込めて制作したという。CMソングには、小田和正氏の楽曲「今日もどこかで」を採用。仲睦まじい夫婦の若かりし頃と現在の写真を通じて、ふたりが寄り添い、支えあって歩んできた姿や時間を想像させる内容となっている。
ITmediaはアイティメディア株式会社の登録商標です。