Tenable ブログ
ブログ通知を受信する
Magentoのセキュリティアップデート、認証されていないリモートコード実行の脆弱性を含む30件を超えるバグを修正(PRODSECBUG-2198)
Magento CommerceとOpen Sourceのアドバイザリ、RCE、XSS、SQLi、およびXSRFの脆弱性に対する修正を提供。
背景
Magentoは、認証されていないリモートコード実行(RCE)の脆弱性を含む、30以上の脆弱性に対するセキュリティアドバイザリをリリースしました。Magentoは、多くのオンラインプラットフォームで広く使用されている電子商取引管理ツールです。Magecart攻撃の頻度が高いため、適切な電子商取引のセキュリティは現代のビジネスにとって非常に重要です。
分析
アドバイザリによると、「PRODSECBUG-2198」は、認証されていないSQLインジェクションの深刻度の高い脆弱性で、攻撃者はこの脆弱性を悪用して標的のMagentoインスタンスでコード実行する可能性があります。電子商取引プラットフォームのデータ漏洩には個人情報と財務情報を含み、Sucuriはこの攻撃の実行は「非常に簡単」であると報告しています。3月28日現在、具体的な詳細情報や一般に公開されているエクスプロイトはありません。Magentoは、攻撃から保護するためにアップグレードすることを推奨しています。
3月29日更新: Ambionics Securityは、追加の詳細情報を含む欠陥の技術分析、および、管理セッションやパスワードハッシュの抽出を可能にする実用的な概念実証(PoC)リリースしました。
ソリューション
Magentoサイトの所有者は、早急にパッチを適用したバージョンに更新する必要があります。PRODSECBUG-2198は以下のMagentoリリースでパッチされました:
- Magento Open Source 1.9.4.1
- Magento Commerce 1.14.4.1
- Magento Commerce 2.1.17
- Magento Commerce 2.2.8
- Magento Commerce 2.3.1
影響を受けているシステムの特定
これらの脆弱性を識別するためのNessusプラグインのリストは、リリースされるたびにこちらに表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
Cybersecurity Snapshot: Find MITRE ATT&CK Complex? Need Help Mapping to It? There’s an App for That!
March 10, 2023Learn about a new tool that streamlines MITRE ATT&CK mapping. Plus, known vulnerabilities remain a major cyber risk – just ask LastPass. Also, discover why SaaS data protection remains difficult. Plus, a look at the U.S. National Cybersecurity Strategy. And much more!
The Ransomware Ecosystem: In Pursuit of Fame and Fortune
July 28, 2022The key players within the ransomware ecosystem, including affiliates and initial access brokers, work together cohesively like a band of musicians, playing their respective parts as they strive for fame and fortune.
Brazen, Unsophisticated and Illogical: Understanding the LAPSUS$ Extortion Group
July 20, 2022Having gained the industry’s attention in the first months of 2022, the LAPSUS$ extortion group has largely gone quiet. What can we learn from this extortion group’s story and tactics?
Cybersecurity Snapshot: New Guide Explains How To Assess if Software Is Secure by Design, While NIST Publishes GenAI Risk Framework
May 10, 2024Is the software your company wants to buy securely designed? A new guide outlines how you can find out. Meanwhile, a new NIST framework can help you assess your GenAI systems’ risks. Plus, a survey shows a big disconnect between AI usage (high) and AI governance (low). And MITRE’s breach post-mortem brims with insights and actionable tips. And much more!
CVE-2024-21793, CVE-2024-26026: Proof of Concept Available for F5 BIG-IP Next Central Manager Vulnerabilities
May 9, 2024Researchers disclose multiple vulnerabilities in F5 BIG-IP Next Central Manager and provide proof-of-concept exploit code, which could lead to exposure of hashed passwords.
Cybersecurity Snapshot: Attackers Pounce on Unpatched Vulns, DBIR Says, as Critical Infrastructure Orgs Benefit from CISA’s Alert Program
May 3, 2024Verizon’s DBIR found that hackers are having a field day exploiting vulnerabilities to gain initial access. Plus, a CISA program is helping critical infrastructure organizations prevent ransomware attacks. In addition, check out what Tenable’s got planned for RSA Conference 2024. And get the latest on the Change Healthcare breach. And much more!
- Threat Intelligence
- Threat Management
- Vulnerability Management