EC基盤「Adobe Commerce」「Magento」にゼロデイ脆弱性 - 早急に対応を

Adobe Systemsは、eコマースプラットフォーム「Adobe Commerce」やオープンソースの「Magento」向けにセキュリティアップデートをリリースした。すでに脆弱性の悪用が確認されているという。

入力値の検証に不備があり、任意のコードを実行されるおそれがある脆弱性「CVE-2022-24086」が明らかとなったもの。現地時間2月13日にアップデートをリリースした。

同脆弱性は「Adobe Commerce 2.3.3」および以前のバージョンを除いて、全プラットフォームに影響があり、同社は「限定的」とするもプラットフォームを利用する店舗を狙った攻撃が確認されているという。

共通脆弱性評価システム「CVSSv3.1」における脆弱性のベーススコアは、最高値10のところ「9.8」としており、同社は重要度を3段階中、もっとも高い「クリティカル（Critical）」とレーティングしている。

同社は、「Adobe Commerce」および「Magento」向けにアップデート「MDVA-43395_EE_2.4.3-p1_v1」をリリース。適用優先度を3段階中もっとも高い「1」とし、リリースより72時間以内を目安にアップデートを実施するよう利用者へ注意を呼びかけている。

（Security NEXT - 2022/02/16 ）ツイート