eコマースプラットフォーム「Magento」に複数の深刻な脆弱性
eコマースプラットフォーム「Magento」にSQLインジェクションなど深刻な脆弱性が複数明らかとなった。Adobe Systemsは、セキュリティアップデートを定例外でリリースし、利用者へアップデートを呼びかけている。
アドバイザリを公表し、あわせて9件の脆弱性を明らかにしたもの。「Magento Commerce」「Magento Open Source」において、すべてのプラットフォームが影響を受けるという。
重要度が3段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は2件。「CVE-2020-24407」は、許可リストにないファイルのアップロードが可能となる脆弱性で、悪用されるとコードを実行されるおそれがある。さらにデータベースの読み込みや書き込みが可能となるSQLインジェクションの脆弱性「CVE-2020-24400」が明らかとなった。
また認証不備の脆弱性4件のほか、クロスサイトスクリプティング(XSS)の脆弱性「CVE-2020-24408」、セッション管理の脆弱性「CVE-2020-24401」など、重要度が1段階低い「重要(Important)」とされる脆弱性6件や、さらに1段階低い「中(Moderate)」とされる脆弱性1件に対応している。
クロスサイトスクリプティング(XSS)の脆弱性「CVE-2020-24408」以外については、いずれも悪用に管理者権限による認証が必要だとしている。
(Security NEXT - 2020/10/16 )
ツイート
PR
関連記事
LAN側からtelnet有効化できるマニュアル未記載機能 - NETGEAR製EOLルータ
「Apache Hadoop HDFS」に脆弱性 - アップデートが公開
直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を
Windows環境の「Symfony」でシェル経由処理に問題 - 破壊的操作のおそれ
JavaScriptサンドボックスのnpmライブラリ「SandboxJS」に深刻な脆弱性
NVIDIAのGPUディスプレイドライバに複数脆弱性 - 修正版が公開
