Tenable ブログ
ブログ通知を受信するMagentoのセキュリティアップデート、認証されていないリモートコード実行の脆弱性を含む30件を超えるバグを修正(PRODSECBUG-2198)
Magento CommerceとOpen Sourceのアドバイザリ、RCE、XSS、SQLi、およびXSRFの脆弱性に対する修正を提供。
背景
Magentoは、認証されていないリモートコード実行(RCE)の脆弱性を含む、30以上の脆弱性に対するセキュリティアドバイザリをリリースしました。Magentoは、多くのオンラインプラットフォームで広く使用されている電子商取引管理ツールです。Magecart攻撃の頻度が高いため、適切な電子商取引のセキュリティは現代のビジネスにとって非常に重要です。
分析
アドバイザリによると、「PRODSECBUG-2198」は、認証されていないSQLインジェクションの深刻度の高い脆弱性で、攻撃者はこの脆弱性を悪用して標的のMagentoインスタンスでコード実行する可能性があります。電子商取引プラットフォームのデータ漏洩には個人情報と財務情報を含み、Sucuriはこの攻撃の実行は「非常に簡単」であると報告しています。3月28日現在、具体的な詳細情報や一般に公開されているエクスプロイトはありません。Magentoは、攻撃から保護するためにアップグレードすることを推奨しています。
3月29日更新: Ambionics Securityは、追加の詳細情報を含む欠陥の技術分析、および、管理セッションやパスワードハッシュの抽出を可能にする実用的な概念実証(PoC)リリースしました。
ソリューション
Magentoサイトの所有者は、早急にパッチを適用したバージョンに更新する必要があります。PRODSECBUG-2198は以下のMagentoリリースでパッチされました:
- Magento Open Source 1.9.4.1
- Magento Commerce 1.14.4.1
- Magento Commerce 2.1.17
- Magento Commerce 2.2.8
- Magento Commerce 2.3.1
影響を受けているシステムの特定
これらの脆弱性を識別するためのNessusプラグインのリストは、リリースされるたびにこちらに表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
- Threat Intelligence
- Threat Management
- Vulnerability Management